Исследователи из компании OX Security обнаружили серьезные уязвимости в четырех популярных расширениях для Visual Studio Code: Live Server, Code Runner, Markdown Preview Enhanced и Microsoft Live Preview. Суммарное число установок этих расширений превышает 125 млн, а найденные баги позволяют похищать локальные файлы и удаленно выполнять код.
«Наше исследование показывает, что хакеру нужно всего одно вредоносное расширение или одна уязвимость в расширении, чтобы выполнить боковое перемещение и скомпрометировать целую организацию», — пишут специалисты.
Обнаруженные проблемы связаны преимущественно с тем, как расширения обрабатывают локальные серверы и пользовательский ввод.
Самой опасной оказалась уязвимость CVE-2025-65717 (9,1 балла по шкале CVSS) в расширении Live Server. Атакующий может заманить разработчика на вредоносный сайт, пока расширение запущено, после чего встроенный в страницу JavaScript начинает извлекать файлы с локального HTTP-сервера на localhost:5500 и передавать их на подконтрольный хакеру домен. Патча для этой уязвимости пока нет.
В Markdown Preview Enhanced нашли баг CVE-2025-65716 (8,8 балла по шкале CVSS), позволяющий выполнять произвольный JavaScript-код через специально подготовленный markdown-файл. В результате атакующий получает возможность проводить перечисление локальных портов и похищать данные. Исправление тоже не выпущено.
Уязвимость CVE-2025-65715 (7,8 балла по шкале CVSS) в Code Runner открывает возможность для выполнения произвольного кода — для этого злоумышленнику нужно с помощью фишинга или социальной инженерии убедить жертву изменить файл settings.json. Патча тоже пока нет.
Наконец, аналогичная проблема с эксфильтрацией файлов затронула расширение Microsoft Live Preview. Атака работает по схожему принципу: жертву заманивают на вредоносную страницу, которая отправляет JavaScript-запросы к localhost и извлекает конфиденциальные файлы. В Microsoft уже устранили эту уязвимость в версии 0.4.16 (вышла в сентябре 2025 года) без присвоения CVE.
Для защиты исследователи рекомендуют не применять непроверенные конфигурации, удалять ненужные расширения, закрывать файрволом входящие и исходящие подключения, регулярно обновлять расширения и отключать сервисы на localhost, если они не используются.
«Плохо написанные расширения, расширения с избыточными правами или откровенно вредоносные — все они могут исполнять код, модифицировать файлы и позволять атакующим захватить машину и извлечь данные, — предупреждают в OX Security. — Держать уязвимое расширение в системе — это прямая угроза безопасности организации. Иногда для компрометации достаточно одного клика или загрузки репозитория».
