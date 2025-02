Компания Microsoft удалила из магазина Visual Studio Marketplace два популярных расширения Material Theme - Free и Material Theme Icons - Free, предположительно содержавшие вредоносный код.

В общей сложности эти расширения были загружены почти 9 млн раз, и теперь их пользователи видят предупреждения о том, что расширения автоматически отключены. Их издатель, Маттиа Асторино (Mattia Astorino, он же equinusocio), имеет несколько других расширений в Visual Studio Marketplace, в общей сложности насчитывающих более 13 млн установок.

Информация о том, что расширения могут оказаться вредоносными, поступила от ИБ-исследователей Амита Ассарафа (Amit Assaraf) и Итая Крука (Itay Kruk). В своем отчете специалисты сообщили, что обнаружили подозрительный код в расширениях и сообщили о своих находках в Microsoft.

Исследователи отмечают, что вредоносный код был внедрен в расширение через обновление, что может указывать на атаку на цепочку поставок через зависимость или на взлом учетной записи разработчика. По их словам, темы должны представлять собой статические JSON-файлы и не должны выполнять никакого кода, поэтому такое поведение было отмечено как подозрительное.

Отмечается, что еще одним тревожным сигналом стало наличие сильно обфусцированного JavaScript в файлах release-notes.js.

«Microsoft исключила оба расширения из маркетплейса VS Code и забанила их разработчика, — рассказал сотрудник Microsoft на YCombinator Hacker News. — Один из членов сообщества провел глубокий анализ безопасности этих расширений и обнаружил множество “красных флагов”, указывающих на вредоносные намерения, после чего рассказал нам об этом. Специалисты по безопасности Microsoft подтвердили эти заявления и нашли дополнительный подозрительный код. Мы запретили издателю доступ в VS Marketplace, удалили все его расширения и деинсталлировали все инстансы VS Code, в которых были запущены эти расширения. Для ясности — удаление никак не связано с авторскими правами и лицензиями, только с потенциальным злым умыслом».