Компания Microsoft восстановила в каталоге Visual Studio Marketplace дополнения к редактору кода VSCode  - "Material Theme" и "Material Theme Icons", насчитывающие 3.9 и 5.4 миллионов установок, а также сняла блокировку с учётной записи разработчика. Две недели назад данные дополнения были удалены в связи с подозрением на наличие вредоносного кода. В итоге оказалось, что имело место ложное срабатывание при проверке и дополнения были удалены по ошибке...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62885

• Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 03:43 , 15-Мрт-25
  • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,kawaii, 03:57 , 15-Мрт-25
  • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,kawaii, 03:59 , 15-Мрт-25
  • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 11:36 , 15-Мрт-25
    • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 11:46 , 15-Мрт-25
      • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 13:15 , 15-Мрт-25
        • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 13:27 , 15-Мрт-25
• Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 23:36 , 14-Мрт-25
  • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,12yoexpert, 23:45 , 14-Мрт-25
    • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,старший невролог, 23:56 , 19-Мрт-25
  • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,КО, 07:14 , 15-Мрт-25
  • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 15:27 , 16-Мрт-25
• Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 23:39 , 14-Мрт-25
  • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 23:42 , 14-Мрт-25
    • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 05:04 , 15-Мрт-25
  • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 16:49 , 15-Мрт-25
• Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 23:51 , 14-Мрт-25
• Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Нуину, 00:05 , 15-Мрт-25
  • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 00:37 , 15-Мрт-25
  • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 05:06 , 15-Мрт-25
    • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 06:01 , 15-Мрт-25
      • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,какая разница, 06:28 , 15-Мрт-25
        • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Смузихлеб забывший пароль, 08:32 , 15-Мрт-25
          • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 09:31 , 15-Мрт-25
        • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 09:34 , 15-Мрт-25
        • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 10:37 , 15-Мрт-25
• Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 00:08 , 15-Мрт-25
• Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 00:34 , 15-Мрт-25
  • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 13:06 , 15-Мрт-25
  • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 19:42 , 15-Мрт-25
• Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 00:34 , 15-Мрт-25
• Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 00:45 , 15-Мрт-25
  • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Похожий, 17:36 , 15-Мрт-25
• Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,kawaii, 04:00 , 15-Мрт-25
• Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,eRIC, 04:30 , 15-Мрт-25
• Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 05:59 , 15-Мрт-25
  • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 08:08 , 15-Мрт-25
    • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 09:58 , 15-Мрт-25
    • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 09:37 , 17-Мрт-25
• Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 07:21 , 15-Мрт-25
  • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 12:50 , 15-Мрт-25
    • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 13:13 , 15-Мрт-25
  • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 13:10 , 15-Мрт-25
    • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 16:03 , 15-Мрт-25
      • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 01:09 , 16-Мрт-25
• Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Андрей, 08:19 , 15-Мрт-25
• Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,nich, 08:38 , 15-Мрт-25
  • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 09:33 , 15-Мрт-25
• Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 08:52 , 15-Мрт-25
• Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Шарп, 10:32 , 15-Мрт-25
• Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 12:53 , 15-Мрт-25
  • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 16:51 , 15-Мрт-25
    • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 01:07 , 16-Мрт-25
  • Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,dp, 09:15 , 17-Мрт-25
• Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 02:29 , 16-Мрт-25
• Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Ilya Indigo, 14:41 , 16-Мрт-25
• Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Аноним, 15:32 , 16-Мрт-25
• Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,Соль земли, 09:49 , 17-Мрт-25
• Microsoft по ошибке удалил дополнения к VSCode, насчитывающи...,pkdr, 11:50 , 17-Мрт-25

Для контекста автор этого шедевра:
* Написал много мутного кода в тему
* Перевел тему с Apache на проприетарную лицензию
* Забыл добавить в копирайты всех контрибьюторов
* Грозился судом тем, кто форкнул его (некогда опенсорсную) тему для других редакторов
* Обфусцировал мутный код в теме, за что и получил

Не просто обфусцировал код. А переписал всю тему из json в генератор json на js, который потом обфусцировал. Так же расширение сейчас просит доступ к файловой системе и функциям создания процессов (которые ей понадобились чтобы генерировать на лету json файлик с темой, потому что расширение было им же превращено в генератор???)

А сам разработчик создал несколько фейковых десятков аккаунтов на github, чтобы создавать видимость поддержки самого себя написывая с них, какой плохой блоггер, который рассказал, что на vscode marketplace есть вредоносные расширения

> * Забыл добавить в копирайты всех контрибьюторов
> * Грозился судом тем, кто форкнул его (некогда опенсорсную) тему для других редакторов
> * Обфусцировал мутный код в теме, за что и получил

Эталонные жаба и гадюка. А нельзя ли еще и вскод удалить случайно? Так еще веселее будет.

И кстати в апачевской лицензии нет запрета менять ее на что-то другое, что вам не нравится?

> А нельзя ли еще и вскод удалить случайно?

Лучше сишечку, от ее удаления хоть какая-то польза - не будет новых дыр и CVE в софте!

>> А нельзя ли еще и вскод удалить случайно?
> Лучше сишечку, от ее удаления хоть какая-то польза - не будет новых
> дыр и CVE в софте!

Как вы себе представляете "удаление сишечки"? К тому же если у вас с компа сишечку удалить - оно у вас загружаться перестанет. И вы даже коментить на опеннет не сможете, не то что вскод запускать.

Шелдон так и не научился понимать сарказм...

вот так по-чёрному и пропиарили свой фуфлыжный ИИшный "сканер" расширений...

> фуфлыжный

а ведь это и есть скам. с этими вашими айтишниками пообщаешься и забудешь русский язык...

общайтесь с теми, кто не распивает спиртное.
в айти сообществе часто награждают себя спиртными по окончании рабочей недели. Считают, что они очень много работали и сильно устали. Так они мотивируют употребление алкоголя. На самом же деле, об умственной усталости может говорить только высокое потребеление калорий.
Другими словами, кто много работает умственно тот много кушает. Если недельное потребление калорий айтишником невысоко - перед вами классический алкоголик с базовыми знаниями ЯП.
Собак, как и айтишника, тоже награждают лакомством, но за успешно выполненную работу, а не по окончании рабочей недели.

А, я знал, чувствовал что это рандомайзер от индусов виноват очередной
Роют себе корпы очередную могилу, улыбаясь при этом инвесторам

Судя по коментам тут же - по делу сканер сработал.

Но зачем теме в принципе иметь JS код, тем более обфусцированный? Нахрена в ТЕМЕ нужна аналитика?

https://news.ycombinator.com/item?id=43182156 интересный доп. контекст:
"Сопровождающий проекта в прошлом году окончательно слетел с катушек. Он убрал исходный код (изначально под лицензией Apache 2) из общего доступа, а затем начал угрожать судебными исками людям за размещение альтернативных версий, их включение в другие IDE и т.д. Настоящий безумец"

Ну то есть как аффтар мода для киберпука который через год добавил следку за запуском мода "чисто для чсв", правда сливал не только запуск но и machideid, список оборудования, ip и прочую мелочь.

> Но зачем теме в принципе иметь JS код, тем более обфусцированный?
> Нахрена в ТЕМЕ нужна аналитика?

А продать тебя господам рекламодателям и прочим датамайнерам без этого всего - как?! Ты ж хотел все на веб технологиях. Вот, получи и распишись. Теперь будут датамайнить даже гребаные темы редактора.

Лучше бы не возвращали. Разработчик расширения тот еще нытик, дошло даже до обфускации кода по логике "они форканут мой проект и все деньги начнут себе забирать".

> По словам автора дополнений, если бы Microsoft сообщала ему о проблеме, он устранил бы её в считанные секунды, но вместо этого компания без предупреждений и уведомлений заблокировала дополнения и учётную запись. На то чтобы добиться восстановления ошибочно удалённых дополнений потребовалось две недели.

Типичная отмазка: если БЫ сообщили, то он БЫ устранил в СЧИТАННЫЕ секунды. Верим?

Нам безразлично.
Это не наша война.

Чувак, у тебя машина во дворе криво стоит. Мы её под пресс, а могли бы позвонить и сказать что если не подвинешь то через час пустим род пресс.
Чувствуешь разницу?

а ты думаешь сейчас не так? увозят хз куда и объявляй потом в розыск

Недавно приехал? Зайди в любой русский двор и увидишь, что машины стоят как попало, но официальные стоянки в радиусе 500 метров заполнены максимум на 30%..

Стоянки-то платные, а дворы - нет. Причём, хз как сейчас, но лет 10-15 назад на тех стоянках ночами сотрудники/охранники очень любили халтурить с машинами. Доходило до того, что норм генератор упёрли и поставили старое барахло с раскуроченным подшипником и повреждёнными его кусками обмотками. Обнаружил разницу по цифрам года выпуска.

Дело завели? Пускай возвращает, и портит за моральный ущерб.

москвичи, bl

Всю жизнь здесь. Авто во дворе небольшой усадьбы стоит.

Зря вернули — это стратегический провал ответственного за направление. Надо было нещадно гнать тряпками, с предубеждением.

Позволять пихать обфускацию и всякую мутную дрянь в распространяемый через собственную платформу контент — плодить последователей Jia Tan в перспективе. Минусы к репутации, минусы к доверию пользователей.

Меня больше удивляет что кто-то пользуется реоактором под контролем мелкософта

Ну я не в России живу и пользоваться именно этим редактором мне необходимо. Но я чуть ли не постоянный разработчик дочерних компаний Майкрософт. Может технологии такие, но на другие не берут.

и как Майкрософт задействован в твоих отношениях с редактором?

Все правильно сделали! Вот Столман против обфусцированного JS.
Вот и майкрософт, как лучший друг опенсорса, тоже против!
Нельзя же нормально проверить код на вредноносность если его нужно каждый раз засшифровывать.

Не жалко эту стучащую-телеметрящую. Вот бы и сам VSCode дропнули заодно.

Хоть одна хорошая новость.

Ролик по теме. https://www.youtube.com/watch?v=CD-doKLl3-M

Автор темы заслужил бан и удаление из маркета, мутный чел: https://youtu.be/3wz7YF2as-c

Ну да, попал по недосмотру, старый скрипт... Сообщать тебе о проблеме? Ну так было сообщение о блокировке, тебе мало?

Да мало. А где пояснения о блокировке?

И обоснование запутанным юридическим языком на 100500 страниц.

Перед использованием сервиса читай лицензионное соглашение. Или ты из царьградовцев?

Виноваты обе стороны. Майкрософт за то, что туп и неповоротлив. Аутор дополнения за то, что невнимателен.

Microsoft, не был бы собой если бы не сделал этого.

Вы знаете а ведь эти разработчики могли эту секундную проблему взять и исправить создав pull request и заблокировать работу пока его не обсудят и не примут. Допустим даже так. Как вам такое решение?

> Аутор дополнения за то, что невнимателен.

У меня тоже есть либы которые используют много людей. Делаю безвозмездно без монетизации. Тоже был случай накатили гневные комментарии за невнимательность, но должен ли я что-то людям которые взяли этот код и зарабатывают на нем?

В первую очередь ты должен быть честным по отношению к самому себе. Будь внимательным, трдолюбивым и милосердным.

Да, я понимаю, но у пользователей весьма часто такое отношение что я им чего то задолжал. То что они на моем проекте зарабатывают, не повод им хамить.

я не использую тёмных тем :)

Вполне возможно там всё-таки был вредоносный код.  До того как его удалили из стора, я устанавливал это расширение.  Оно мне не понравилось, и я его удалил.  Перезагружаю vscode, а это расширение опять стоит.  Удаляю опять.  После рестарта оно опять сидит в vscode.  Пришлось руками удалять дирректорию расширения.  В общем, это очень подозрительное говно.

Надо ещё ОС на всякий случай переустановить!
(Серьёзно, без сорказма)

Юзаем vscode icons и не паримся

>в обфусцированный блок попал код клиента из SDK sanity.io

Очень распространённая проблема. Веб-обезъяныч сквернокодят без оглядки. Видел сайт с тремя формочками на реакте, который весил 25 мб. Он тоже обфусцирован. И там тупо дублируются огромные участки кода. Видимо обезъяныч не справился со сборкой бандла. Но ему всё равно - сайт же открывается.

> - "Material Theme" и "Material Theme Icons"

Сам John Papa рекомендует эти расширения балбесы из Майкрософт

> Сам John Papa рекомендует эти расширения балбесы из Майкрософт

Это тот самый, у которого серваки через раз работают? Оок!

С чего ты взял? Мне кажется ты не знаешь кто это

Папа Джонс? Пицеррия рекомендуем расширения для вскода? ну окок...

Хитро выкручивается автор. Там где должны по идеи быть статические JSON-данные, он вставляет  код. Если поймают - я сразу бы исправил. Код не мой - вставил откуда-то. За содержание кода не отвечаю - наличие конфиденциальных данных просто пропустил (был сонный).
JS везде где попало - зло.
  

А это была точно ошибка?
Всё же правильно сделали, кроме того, что потом разбанили автора и дали ему возможность снова залить свои зонды!

Всё правильно МС сделал, нефиг код запутывать, мешая нахождению гадостей.

ну удалили и удалили, ну восстановили и восстановили, что теперь рекламу из этого делать? (да)

> в файле release-notes.js был выявлен обфусцированный исполняемый код

Мда, release-notes.js, мир свернул куда-то не туда.