Компания Microsoft удалила из магазина Visual Studio Marketplace два популярных расширения Material Theme - Free и Material Theme Icons - Free, предположительно содержавшие вредоносный код.
В общей сложности эти расширения были загружены почти 9 млн раз, и теперь их пользователи видят предупреждения о том, что расширения автоматически отключены. Их издатель, Маттиа Асторино (Mattia Astorino, он же equinusocio), имеет несколько других расширений в Visual Studio Marketplace, в общей сложности насчитывающих более 13 млн установок.
Информация о том, что расширения могут оказаться вредоносными, поступила от ИБ-исследователей Амита Ассарафа (Amit Assaraf) и Итая Крука (Itay Kruk). В своем отчете специалисты сообщили, что обнаружили подозрительный код в расширениях и сообщили о своих находках в Microsoft.
Исследователи отмечают, что вредоносный код был внедрен в расширение через обновление, что может указывать на атаку на цепочку поставок через зависимость или на взлом учетной записи разработчика. По их словам, темы должны представлять собой статические JSON-файлы и не должны выполнять никакого кода, поэтому такое поведение было отмечено как подозрительное.
Отмечается, что еще одним тревожным сигналом стало наличие сильно обфусцированного JavaScript в файлах release-notes.js.
В Microsoft пообещали в ближайшее время опубликовать более подробную информацию о вредоносной активности в репозитории VSMarketplace на GitHub.
Разработчик расширений, Маттиа Асторино, ответил на вопросы о возможной опасности расширений, заявив, что проблемы вызваны устаревшей зависимостью sanity.io, которая «выглядит скомпрометированной». По его словам, в Material Theme никогда не было ничего вредоносного, а единственной проблемой является устаревшая зависимость sanity.io, «которая использовалась для отображения release notes из sanity headless CMS».
Позже разработчик опубликовал в VSCode Marketplace «полностью переписанное расширение» под названием Fanny Themes, без каких-либо зависимостей, но оно тоже было впоследствии удалено Microsoft.
Пока ситуация не прояснилась, пользователям рекомендуется удалить следующие файлы из всех проектов:
• equinusocio.moxer-theme;
• equinusocio.vsc-material-theme;
• equinusocio.vsc-material-theme-icons;
• equinusocio.vsc-community-material-theme;
• equinusocio.moxer-icons.
В общей сложности эти расширения были загружены почти 9 млн раз, и теперь их пользователи видят предупреждения о том, что расширения автоматически отключены. Их издатель, Маттиа Асторино (Mattia Astorino, он же equinusocio), имеет несколько других расширений в Visual Studio Marketplace, в общей сложности насчитывающих более 13 млн установок.
Исследователи отмечают, что вредоносный код был внедрен в расширение через обновление, что может указывать на атаку на цепочку поставок через зависимость или на взлом учетной записи разработчика. По их словам, темы должны представлять собой статические JSON-файлы и не должны выполнять никакого кода, поэтому такое поведение было отмечено как подозрительное.
В Microsoft пообещали в ближайшее время опубликовать более подробную информацию о вредоносной активности в репозитории VSMarketplace на GitHub.
Разработчик расширений, Маттиа Асторино, ответил на вопросы о возможной опасности расширений, заявив, что проблемы вызваны устаревшей зависимостью sanity.io, которая «выглядит скомпрометированной». По его словам, в Material Theme никогда не было ничего вредоносного, а единственной проблемой является устаревшая зависимость sanity.io, «которая использовалась для отображения release notes из sanity headless CMS».
Позже разработчик опубликовал в VSCode Marketplace «полностью переписанное расширение» под названием Fanny Themes, без каких-либо зависимостей, но оно тоже было впоследствии удалено Microsoft.
Пока ситуация не прояснилась, пользователям рекомендуется удалить следующие файлы из всех проектов:
• equinusocio.moxer-theme;
• equinusocio.vsc-material-theme;
• equinusocio.vsc-material-theme-icons;
• equinusocio.vsc-community-material-theme;
• equinusocio.moxer-icons.