The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Microsoft по ошибке удалил дополнения к VSCode, насчитывающие 9 млн установок

14.03.2025 22:53

Компания Microsoft восстановила в каталоге Visual Studio Marketplace дополнения к редактору кода VSCode - "Material Theme" и "Material Theme Icons", насчитывающие 3.9 и 5.4 миллионов установок, а также сняла блокировку с учётной записи разработчика. Две недели назад данные дополнения были удалены из-за подозрений на наличие вредоносного кода. В итоге оказалось, что дополнения были удалены по ошибке, так как произошло ложное срабатывание инструментария и недосмотр сотрудников при проверке.

Представители Microsoft принесли извинения пострадавшему разработчику и признались, что поторопились, пытаясь оперативно защитить пользователей от возможной угрозы, положившись на срабатывание нескольких детекторов вредоносного ПО в коде. Для снижения вероятности подобных инцидентов в будущем компания Microsoft пересмотрит свою политику в отношении обфусцированного кода, а также обновит системы сканирования и процесс ручного анализа.

Дополнения заподозрили в распространении вредоносного кода из-за наличия обфусцированных вставок, на которые обратили внимание сотрудники компании ExtensionTotal, развивающей AI-инструменты для сканирования вредоносных дополнений к VSCode. В Microsoft была направлена жалоба с подозрениями на использование в дополнениях "Material Theme" и "Material Theme Icons" обфусцированных вставок для скрытия вредоносного кода.

Например, в файле release-notes.js был выявлен обфусцированный исполняемый код, в то время как темы оформления должны содержать лишь статические JSON-данные. Частичное раскодирование обфусцированных блоков показало наличие строк с именами пользователей и паролями. В ответ на жалобу исследователи безопасности из Microsoft провели проверку, которая подтвердила упомянутые в жалобе выводы. Наличия исполняемого кода в темах оформления и упоминаний паролей было признано достаточным для удаления дополнений и блокировки их автора.

Сразу после блокировки автор дополнений опубликовал возражение против действий Microsoft и заявил, что в его проектах нет вредоносного кода, а наличие обфусцирования не является поводом для удаления. Единственной проблемой было то, что в обфусцированный блок попал код клиента из SDK sanity.io, в котором имелись строки, упоминающие логины и пароли в клиенте аутентификации. Данный код попал в состав дополнения по недосмотру из-за старого сборочного скрипта, применявшегося для генерации файлов в формате JSON после загрузки SVG-пиктограмм из закрытого репозитория.

По словам автора дополнений, если бы Microsoft сообщала ему о проблеме, он устранил бы её в считанные секунды, но вместо этого компания без предупреждений и уведомлений заблокировала дополнения и учётную запись. На то чтобы добиться восстановления ошибочно удалённых дополнений потребовалось две недели.

  1. Главная ссылка к новости (https://www.bleepingcomputer.c...)
  2. OpenNews: Сотрудники Mozilla по ошибке заблокировали дополнение uBlock Origin Lite
  3. OpenNews: Атакующие внедрили вредоносный код в web3.js, официальный JavaScript-клиент для криптовалюты Solana
  4. OpenNews: В дополнении для блокирования рекламы в Twitch выявлен вредоносный код
  5. OpenNews: GitLab заблокировал BPC, браузерное дополнение для обхода Paywall
  6. OpenNews: Конфликт из-за отображения шапки Санта-Клауса в открытом редакторе кода Visual Studio Code
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/62885-vscode
Ключевые слова: vscode, malware, block
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (55) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.21, Аноним (21), 03:43, 15/03/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +25 +/
    Для контекста автор этого шедевра:
    * Написал много мутного кода в тему
    * Перевел тему с Apache на проприетарную лицензию
    * Забыл добавить в копирайты всех контрибьюторов
    * Грозился судом тем, кто форкнул его (некогда опенсорсную) тему для других редакторов
    * Обфусцировал мутный код в теме, за что и получил
     
     
  • 2.22, kawaii (?), 03:57, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Не просто обфусцировал код. А переписал всю тему из json в генератор json на js, который потом обфусцировал. Так же расширение сейчас просит доступ к файловой системе и функциям создания процессов (которые ей понадобились чтобы генерировать на лету json файлик с темой, потому что расширение было им же превращено в генератор???)
     
  • 2.23, kawaii (?), 03:59, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А сам разработчик создал несколько фейковых десятков аккаунтов на github, чтобы создавать видимость поддержки самого себя написывая с них, какой плохой блоггер, который рассказал, что на vscode marketplace есть вредоносные расширения
     
  • 2.47, Аноним (-), 11:36, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > * Забыл добавить в копирайты всех контрибьюторов
    > * Грозился судом тем, кто форкнул его (некогда опенсорсную) тему для других редакторов
    > * Обфусцировал мутный код в теме, за что и получил

    Эталонные жаба и гадюка. А нельзя ли еще и вскод удалить случайно? Так еще веселее будет.

    И кстати в апачевской лицензии нет запрета менять ее на что-то другое, что вам не нравится?

     
     
  • 3.48, Аноним (48), 11:46, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > А нельзя ли еще и вскод удалить случайно?

    Лучше сишечку, от ее удаления хоть какая-то польза - не будет новых дыр и CVE в софте!

     
     
  • 4.54, Аноним (-), 13:15, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +/
    >> А нельзя ли еще и вскод удалить случайно?
    > Лучше сишечку, от ее удаления хоть какая-то польза - не будет новых
    > дыр и CVE в софте!

    Как вы себе представляете "удаление сишечки"? К тому же если у вас с компа сишечку удалить - оно у вас загружаться перестанет. И вы даже коментить на опеннет не сможете, не то что вскод запускать.

     
     
  • 5.56, Аноним (48), 13:27, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Шелдон так и не научился понимать сарказм...
     

  • 1.2, Аноним (2), 23:36, 14/03/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    вот так по-чёрному и пропиарили свой фуфлыжный ИИшный "сканер" расширений...
     
     
  • 2.5, 12yoexpert (ok), 23:45, 14/03/2025 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > фуфлыжный

    а ведь это и есть скам. с этими вашими айтишниками пообщаешься и забудешь русский язык...

     
  • 2.33, КО (?), 07:14, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А, я знал, чувствовал что это рандомайзер от индусов виноват очередной
    Роют себе корпы очередную могилу, улыбаясь при этом инвесторам
     
  • 2.71, Аноним (71), 15:27, 16/03/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по коментам тут же - по делу сканер сработал.
     

  • 1.3, Аноним (3), 23:39, 14/03/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +17 +/
    Но зачем теме в принципе иметь JS код, тем более обфусцированный? Нахрена в ТЕМЕ нужна аналитика?
     
     
  • 2.4, Аноним (3), 23:42, 14/03/2025 [^] [^^] [^^^] [ответить]  
  • +13 +/
    https://news.ycombinator.com/item?id=43182156 интересный доп. контекст:
    "Сопровождающий проекта в прошлом году окончательно слетел с катушек. Он убрал исходный код (изначально под лицензией Apache 2) из общего доступа, а затем начал угрожать судебными исками людям за размещение альтернативных версий, их включение в другие IDE и т.д. Настоящий безумец"
     
     
  • 3.26, Аноним (26), 05:04, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Ну то есть как аффтар мода для киберпука который через год добавил следку за запуском мода "чисто для чсв", правда сливал не только запуск но и machideid, список оборудования, ip и прочую мелочь.
     
  • 2.62, Аноним (-), 16:49, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +/
    > Но зачем теме в принципе иметь JS код, тем более обфусцированный?
    > Нахрена в ТЕМЕ нужна аналитика?

    А продать тебя господам рекламодателям и прочим датамайнерам без этого всего - как?! Ты ж хотел все на веб технологиях. Вот, получи и распишись. Теперь будут датамайнить даже гребаные темы редактора.

     

  • 1.6, Аноним (6), 23:51, 14/03/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Лучше бы не возвращали. Разработчик расширения тот еще нытик, дошло даже до обфускации кода по логике "они форканут мой проект и все деньги начнут себе забирать".
     
  • 1.7, Нуину (?), 00:05, 15/03/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > По словам автора дополнений, если бы Microsoft сообщала ему о проблеме, он устранил бы её в считанные секунды, но вместо этого компания без предупреждений и уведомлений заблокировала дополнения и учётную запись. На то чтобы добиться восстановления ошибочно удалённых дополнений потребовалось две недели.

    Типичная отмазка: если БЫ сообщили, то он БЫ устранил в СЧИТАННЫЕ секунды. Верим?

     
     
  • 2.14, Аноним (14), 00:37, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Нам безразлично.
    Это не наша война.
     
  • 2.27, Аноним (26), 05:06, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Чувак, у тебя машина во дворе криво стоит. Мы её под пресс, а могли бы позвонить и сказать что если не подвинешь то через час пустим род пресс.
    Чувствуешь разницу?
     
     
  • 3.31, Аноним (31), 06:01, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +/
    а ты думаешь сейчас не так? увозят хз куда и объявляй потом в розыск
     
     
  • 4.32, какая разница (?), 06:28, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Недавно приехал? Зайди в любой русский двор и увидишь, что машины стоят как попало, но официальные стоянки в радиусе 500 метров заполнены максимум на 30%..
     
     
  • 5.38, Смузихлеб забывший пароль (?), 08:32, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Стоянки-то платные, а дворы - нет. Причём, хз как сейчас, но лет 10-15 назад на тех стоянках ночами сотрудники/охранники очень любили халтурить с машинами. Доходило до того, что норм генератор упёрли и поставили старое барахло с раскуроченным подшипником и повреждёнными его кусками обмотками. Обнаружил разницу по цифрам года выпуска.
     
     
  • 6.41, Аноним (41), 09:31, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Дело завели? Пускай возвращает, и портит за моральный ущерб.
     
  • 5.43, Аноним (43), 09:34, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +/
    москвичи, bl
     
  • 5.46, Аноним (46), 10:37, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Всю жизнь здесь. Авто во дворе небольшой усадьбы стоит.
     

  • 1.8, Аноним (8), 00:08, 15/03/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    Зря вернули — это стратегический провал ответственного за направление. Надо было нещадно гнать тряпками, с предубеждением.

    Позволять пихать обфускацию и всякую мутную дрянь в распространяемый через собственную платформу контент — плодить последователей Jia Tan в перспективе. Минусы к репутации, минусы к доверию пользователей.

     
  • 1.12, Аноним (12), 00:34, 15/03/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Меня больше удивляет что кто-то пользуется реоактором под контролем мелкософта
     
     
  • 2.51, Аноним (-), 13:06, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я не в России живу и пользоваться именно этим редактором мне необходимо. Но я чуть ли не постоянный разработчик дочерних компаний Майкрософт. Может технологии такие, но на другие не берут.
     
  • 2.65, Аноним (65), 19:42, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +/
    и как Майкрософт задействован в твоих отношениях с редактором?
     

  • 1.13, Аноним (13), 00:34, 15/03/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Все правильно сделали! Вот Столман против обфусцированного JS.
    Вот и майкрософт, как лучший друг опенсорса, тоже против!
    Нельзя же нормально проверить код на вредноносность если его нужно каждый раз засшифровывать.
     
  • 1.15, Аноним (15), 00:45, 15/03/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не жалко эту стучащую-телеметрящую. Вот бы и сам VSCode дропнули заодно.
     
     
  • 2.64, Похожий (?), 17:36, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Хоть одна хорошая новость.
     

  • 1.24, kawaii (?), 04:00, 15/03/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ролик по теме. https://www.youtube.com/watch?v=CD-doKLl3-M
     
  • 1.25, eRIC (ok), 04:30, 15/03/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Автор темы заслужил бан и удаление из маркета, мутный чел: https://youtu.be/3wz7YF2as-c
     
  • 1.30, Аноним (31), 05:59, 15/03/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну да, попал по недосмотру, старый скрипт... Сообщать тебе о проблеме? Ну так было сообщение о блокировке, тебе мало?
     
     
  • 2.36, Аноним (-), 08:08, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Да мало. А где пояснения о блокировке?
     
     
  • 3.44, Аноним (41), 09:58, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И обоснование запутанным юридическим языком на 100500 страниц.
     

  • 1.34, Аноним (-), 07:21, 15/03/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Виноваты обе стороны. Майкрософт за то, что туп и неповоротлив. Аутор дополнения за то, что невнимателен.
     
     
  • 2.49, Аноним (49), 12:50, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Microsoft, не был бы собой если бы не сделал этого.
     
     
  • 3.53, Аноним (-), 13:13, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Вы знаете а ведь эти разработчики могли эту секундную проблему взять и исправить создав pull request и заблокировать работу пока его не обсудят и не примут. Допустим даже так. Как вам такое решение?
     
  • 2.52, Аноним (-), 13:10, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +/
    > Аутор дополнения за то, что невнимателен.

    У меня тоже есть либы которые используют много людей. Делаю безвозмездно без монетизации. Тоже был случай накатили гневные комментарии за невнимательность, но должен ли я что-то людям которые взяли этот код и зарабатывают на нем?

     
     
  • 3.58, Аноним (-), 16:03, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +/
    В первую очередь ты должен быть честным по отношению к самому себе. Будь внимательным, трдолюбивым и милосердным.
     
     
  • 4.67, Аноним (-), 01:09, 16/03/2025 [^] [^^] [^^^] [ответить]  
  • +/
    Да, я понимаю, но у пользователей весьма часто такое отношение что я им чего то задолжал. То что они на моем проекте зарабатывают, не повод им хамить.
     

  • 1.37, Андрей (??), 08:19, 15/03/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    я не использую тёмных тем :)
     
  • 1.39, nich (ok), 08:38, 15/03/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вполне возможно там всё-таки был вредоносный код.  До того как его удалили из стора, я устанавливал это расширение.  Оно мне не понравилось, и я его удалил.  Перезагружаю vscode, а это расширение опять стоит.  Удаляю опять.  После рестарта оно опять сидит в vscode.  Пришлось руками удалять дирректорию расширения.  В общем, это очень подозрительное говно.
     
     
  • 2.42, Аноним (41), 09:33, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Надо ещё ОС на всякий случай переустановить!
    (Серьёзно, без сорказма)
     

  • 1.40, Аноним (40), 08:52, 15/03/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Юзаем vscode icons и не паримся
     
  • 1.45, Шарп (ok), 10:32, 15/03/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >в обфусцированный блок попал код клиента из SDK sanity.io

    Очень распространённая проблема. Веб-обезъяныч сквернокодят без оглядки. Видел сайт с тремя формочками на реакте, который весил 25 мб. Он тоже обфусцирован. И там тупо дублируются огромные участки кода. Видимо обезъяныч не справился со сборкой бандла. Но ему всё равно - сайт же открывается.

     
  • 1.50, Аноним (-), 12:53, 15/03/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > - "Material Theme" и "Material Theme Icons"

    Сам John Papa рекомендует эти расширения балбесы из Майкрософт

     
     
  • 2.63, Аноним (-), 16:51, 15/03/2025 [^] [^^] [^^^] [ответить]  
  • +/
    > Сам John Papa рекомендует эти расширения балбесы из Майкрософт

    Это тот самый, у которого серваки через раз работают? Оок!

     
     
  • 3.66, Аноним (-), 01:07, 16/03/2025 [^] [^^] [^^^] [ответить]  
  • +/
    С чего ты взял? Мне кажется ты не знаешь кто это
     

  • 1.68, Аноним (68), 02:29, 16/03/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хитро выкручивается автор. Там где должны по идеи быть статические JSON-данные, он вставляет  код. Если поймают - я сразу бы исправил. Код не мой - вставил откуда-то. За содержание кода не отвечаю - наличие конфиденциальных данных просто пропустил (был сонный).
    JS везде где попало - зло.
      
     
  • 1.69, Ilya Indigo (ok), 14:41, 16/03/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А это была точно ошибка?
    Всё же правильно сделали, кроме того, что потом разбанили автора и дали ему возможность снова залить свои зонды!
     
  • 1.72, Аноним (72), 15:32, 16/03/2025 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всё правильно МС сделал, нефиг код запутывать, мешая нахождению гадостей.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру