Microsoft se desculpa por remover extensões do VSCode usadas por milhões de usuários

A Microsoft restabeleceu as extensões "Material Theme – Free" e "Material Theme Icons – Free" no Visual Studio Marketplace após concluir que o código ofuscado presente nelas não era, de fato, malicioso.

As duas extensões do VSCode, que acumulam mais de 9 milhões de instalações, foram removidas do marketplace no final de fevereiro devido a supostos riscos de segurança, levando ao banimento de seu criador, Mattia Astorino (conhecido como equinusocio), da plataforma.

"Um membro da comunidade realizou uma análise de segurança detalhada da extensão e encontrou múltiplos sinais de alerta que indicavam intenção maliciosa, reportando isso à Microsoft", afirmou um funcionário da empresa na época.

"Nossos pesquisadores de segurança na Microsoft confirmaram essa alegação e encontraram códigos adicionais suspeitos."

Os pesquisadores Amit Assaraf e Itay Kruk, que utilizam scanners baseados em IA para identificar submissões suspeitas no VSCode, foram os primeiros a sinalizar as extensões como possivelmente maliciosas.

Foi relatado que a avaliação de alto risco para o Material Theme se deveu à detecção de funcionalidades de execução de código dentro do arquivo "release-notes.js", que também estava fortemente ofuscado.

Astorino refutou imediatamente as alegações e a remoção de suas extensões, argumentando que o problema vinha de uma dependência desatualizada do sanity.io, usada desde 2016 para exibir notas de versão do CMS headless Sanity.

Segundo ele, a dependência poderia ter sido removida em segundos se a Microsoft tivesse entrado em contato antes de bani-lo sem aviso prévio.

"Não havia nada malicioso. Eu não atualizava a extensão há anos, pois estava focado em uma nova versão, exceto pelo processo de ofuscação", disse Astorino.

"O único problema foi um script de compilação que acabou incluído no index.js distribuído (relacionado ao Material Theme Icons). Esse script gerava arquivos JSON após extrair ícones SVG de um repositório fechado—algo que já havia removido há muito tempo."

"Em relação ao Material Theme, o processo de ofuscação incluiu, acidentalmente, o cliente SDK do sanity.io, que continha algumas strings mencionando senhas ou nomes de usuário (o cliente de autenticação). No entanto, essas referências não eram prejudiciais—apenas resultado de um processo de compilação falho realizado há muito tempo."

Extensões restauradas no VSCode Marketplace

Scott Hanselman, da Microsoft, pediu desculpas a Astorino ontem em uma issue aberta no GitHub pelo desenvolvedor, solicitando a restauração de sua conta e de suas extensões.

"A conta do editor das extensões Material Theme e Material Theme Icons (Equinusocio) foi sinalizada erroneamente e agora foi restaurada", escreveu Hanselman.

"Em nome da segurança, agimos rapidamente e erramos. Removemos esses temas porque dispararam múltiplos alertas de detecção de malware dentro da Microsoft, e nossa investigação chegou a uma conclusão equivocada."

"Novamente, pedimos desculpas ao autor por ter sido envolvido nessa situação e esperamos ver seus futuros temas e extensões. Já nos comunicamos com ele e agradecemos por sua paciência", continuou Hanselman.

Além disso, Hanselman informou que o Visual Studio Code Marketplace atualizará sua política em relação a códigos ofuscados e aprimorará seus scanners para evitar remoções precipitadas no futuro.

Quando questionado sobre o desdobramento do caso, o pesquisador de segurança Amit Assaraf manteve a alegação de que a extensão continha código malicioso, mas reconheceu que não havia intenção maliciosa por parte do desenvolvedor, afirmando que "neste caso, a Microsoft agiu rápido demais".

Astorino confirmou que as extensões Material Theme no marketplace do VSCode foram completamente reescritas e estão seguras para uso.

Via - BC