top of page

Extensões do VSCode com 9 Milhões de downloads são banidas por risco de segurança

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • 27 de fev.
  • 2 min de leitura

A Microsoft removeu duas extensões populares do VSCode, "Material Theme – Free" e "Material Theme Icons – Free", do Visual Studio Marketplace após a descoberta de código malicioso. Essas extensões, baixadas quase 9 milhões de vezes, foram automaticamente desativadas nos ambientes dos usuários.


A descoberta foi feita pelos pesquisadores Amit Assaraf e Itay Kruk, especialistas em identificar extensões maliciosas no VSCode. Após análise, eles relataram suas descobertas à Microsoft, que confirmou a presença de código suspeito e baniu o desenvolvedor Mattia Astorino (conhecido como equinusocio) do marketplace, removendo todas as suas extensões.


VSCode automatically removing Material Theme extensions - Fonte: bsdahl
VSCode automatically removing Material Theme extensions - Fonte: bsdahl

Segundo os pesquisadores, a atividade maliciosa foi detectada por meio de um scanner especializado. Eles acreditam que o código malicioso pode ter sido inserido em uma atualização, possivelmente por meio de um ataque à cadeia de suprimentos ou pelo comprometimento da conta do desenvolvedor. Como os temas do VSCode devem ser apenas arquivos JSON estáticos, qualquer execução de código é considerada suspeita.


Scanner's risk evaluation for Material Theme - Fonte: app.extensiontotal.com
Scanner's risk evaluation for Material Theme - Fonte: app.extensiontotal.com

Segundo o BleepingComputer, os arquivos "release-notes.js" dentro do tema continham JavaScript altamente ofuscado, o que é um grande indicativo de comportamento malicioso em softwares de código aberto. Parte do código desofuscado revelou referências a nomes de usuários e senhas, mas a análise completa não foi possível devido ao nível de ofuscação.


Heavily obfuscated JavaScript in release-notes.js file - Fonte: BleepingComputer
Heavily obfuscated JavaScript in release-notes.js file - Fonte: BleepingComputer

A Microsoft anunciou que divulgará mais detalhes sobre o caso no repositório do GitHub do VSMarketplace. Enquanto isso, recomenda-se que os usuários removam as seguintes extensões:

  • equinusocio.moxer-theme

  • equinusocio.vsc-material-theme

  • equinusocio.vsc-material-theme-icons

  • equinusocio.vsc-community-material-theme

  • equinusocio.moxer-icons


O desenvolvedor Mattia Astorino negou qualquer intenção maliciosa, afirmando que o problema foi causado por uma dependência antiga do Sanity.io, que teria sido comprometida. Ele criticou a Microsoft por não ter entrado em contato antes de remover suas extensões, alegando que a remoção da dependência levaria apenas 30 segundos.


Após o incidente, Astorino lançou uma nova extensão chamada "Fanny Themes", que, segundo ele, foi reescrita do zero e não possuía dependências comprometidas. No entanto, a Microsoft também a removeu do Marketplace.


A controvérsia segue sem resolução definitiva, e enquanto a Microsoft não divulga mais informações, a recomendação é evitar o uso das extensões removidas para garantir a segurança dos projetos.


Via - BC

 
 
 

Comments

Parceiros

Cupom 20% de desconto - CYBERSECBRA20 

bottom of page