Компания Microsoft удалила из магазина Visual Studio Marketplace два популярных расширения Material Theme - Free и Material Theme Icons - Free, предположительно содержавшие вредоносный код.
В общей сложности эти расширения были загружены почти 9 млн раз, и теперь их пользователи видят предупреждения о том, что расширения автоматически отключены. Их издатель, Маттиа Асторино (Mattia Astorino, он же equinusocio), имеет несколько других расширений в Visual Studio Marketplace, в общей сложности насчитывающих более 13 млн установок.
Информация о том, что расширения могут оказаться вредоносными, поступила от ИБ-исследователей Амита Ассарафа (Amit Assaraf) и Итая Крука (Itay Kruk). В своем отчете специалисты сообщили, что обнаружили подозрительный код в расширениях и сообщили о своих находках в Microsoft.
Исследователи отмечают, что вредоносный код был внедрен в расширение через обновление, что может указывать на атаку на цепочку поставок через зависимость или на взлом учетной записи разработчика. По их словам, темы должны представлять собой статические JSON-файлы и не должны выполнять никакого кода, поэтому такое поведение было отмечено как подозрительное.
Отмечается, что еще одним тревожным сигналом стало наличие сильно обфусцированного JavaScript в файлах release-notes.js.
«Microsoft исключила оба расширения из маркетплейса VS Code и забанила их разработчика, — рассказал сотрудник Microsoft на YCombinator Hacker News. — Один из членов сообщества провел глубокий анализ безопасности этих расширений и обнаружил множество “красных флагов”, указывающих на вредоносные намерения, после чего рассказал нам об этом. Специалисты по безопасности Microsoft подтвердили эти заявления и нашли дополнительный подозрительный код. Мы запретили издателю доступ в VS Marketplace, удалили все его расширения и деинсталлировали все инстансы VS Code, в которых были запущены эти расширения. Для ясности — удаление никак не связано с авторскими правами и лицензиями, только с потенциальным злым умыслом».
В Microsoft пообещали в ближайшее время опубликовать более подробную информацию о вредоносной активности в репозитории VSMarketplace на GitHub.
Разработчик расширений, Маттиа Асторино, ответил на вопросы о возможной опасности расширений, заявив, что проблемы вызваны устаревшей зависимостью sanity.io, которая «выглядит скомпрометированной». По его словам, в Material Theme никогда не было ничего вредоносного, а единственной проблемой является устаревшая зависимость sanity.io, «которая использовалась для отображения release notes из sanity headless CMS».
«Эта зависимость существовала с 2016 года и успешно прошла все проверки, но теперь она выглядит скомпрометированной. Никто из Microsoft не связался с нами, чтобы удалить ее. Они просто снесли все, вызвав проблемы у миллионов пользователей и зациклив VSCode (да, это их вина). Они сломали все, ни разу не обратившись к нам за разъяснениями, — пишет Асторино. — Удаление старой зависимости было 30-секундным делом, но, похоже, именно так работает Microsoft. Кроме того, мы поставляем обфусцированный файл index.js, который содержит все команды и логику темы. Он обфусцирован, потому что расширение теперь имеет закрытый исходный код. Если вы удалите его, расширение по-прежнему будет работать с обычными JSON-файлами».
Позже разработчик опубликовал в VSCode Marketplace «полностью переписанное расширение» под названием Fanny Themes, без каких-либо зависимостей, но оно тоже было впоследствии удалено Microsoft.
Пока ситуация не прояснилась, пользователям рекомендуется удалить следующие файлы из всех проектов:
• equinusocio.moxer-theme;
• equinusocio.vsc-material-theme;
• equinusocio.vsc-material-theme-icons;
• equinusocio.vsc-community-material-theme;
• equinusocio.moxer-icons.
