A Microsoft removeu duas extensões populares do VSCode, 'Material Theme – Free' e 'Material Theme Icons – Free', do Visual Studio Marketplace por supostamente conterem código malicioso.
As duas extensões são muito populares, tendo sido baixadas quase 9 milhões de vezes no total, com os usuários recebendo agora alertas no VSCode de que as extensões foram automaticamente desabilitadas.
O publicador, Mattia Astorino (conhecido como equinusocio), tem várias extensões no marketplace do VSCode, totalizando mais de 13 milhões de instalações.
A notícia de que as extensões são maliciosas vem dos pesquisadores de cibersegurança Amit Assaraf e Itay Kruk, que têm expertise em escanear o VSCode em busca de extensões maliciosas.
Em um relatório publicado hoje, os pesquisadores dizem que descobriram código suspeito nas extensões e reportaram suas descobertas à Microsoft.
"A Microsoft removeu ambas as extensões do marketplace do VS Code e baniu o desenvolvedor," diz uma postagem de um funcionário da Microsoft no Hacker News do YCombinator.
Um membro da comunidade fez uma análise de segurança profunda da extensão e encontrou múltiplos sinais de alerta que indicam intenção maliciosa e reportou isso a nós.
Nossos pesquisadores de segurança na Microsoft confirmaram essas alegações e encontraram código adicional suspeito.
Bloqueamos o publicador no VS Marketplace e removemos todas as suas extensões e as desinstalamos de todas as instâncias do VS Code que estavam executando essa extensão.
Para esclarecer - a remoção não teve nada a ver com direitos autorais/licenças, apenas com a intenção maliciosa potencial.
Os pesquisadores disseram que seu scanner especializado detectou atividade maliciosa no código da extensão.
Um dos pesquisadores, Amit Assaraf, diz acreditar que o código malicioso foi introduzido em uma atualização das extensões, indicando ou um ataque à cadeia de suprimentos por meio de uma dependência ou a conta do desenvolvedor foi comprometida.
Além disso, explicaram que temas deveriam ser arquivos JSON estáticos e não executar nenhum código, então esse comportamento foi marcado como suspeito em sua avaliação.
Como verificado, os arquivos "release-notes.js" no tema contêm JavaScript fortemente ofuscado, o que é sempre um sinal de alerta em software de código aberto.
Uma deofuscação parcial do código mostrou numerosas referências a nomes de usuários e senhas.
A Microsoft diz que publicará mais detalhes sobre a extensão e qualquer atividade maliciosa detectada no repositório GitHub do VSMarketplace em breve.
O desenvolvedor das extensões, Mattia Astorino (conhecido como equinusocio), respondeu às preocupações sobre as extensões serem maliciosas, afirmando que os problemas são causados por uma dependência desatualizada do Sanity.io que "parece comprometida".
"Caro @gegtor nada prejudicial foi enviado dentro do Material Theme.," lê-se em uma postagem de Astorino no repositório VSMarketplace da Microsoft.
Tivemos apenas uma dependência desatualizada do sanity.io usada desde 2016 para mostrar notas de versão do sanity headless CMS, que foi o único problema encontrado.
Essa dependência está lá desde 2016 e passou por todas as verificações desde então, agora parece comprometida, mas NINGUÉM da Microsoft nos contactou para removê-la.
Eles apenas retiraram tudo, causando problemas a milhões de usuários e causando um loop no vscode (sim, a culpa é deles)
Eles quebraram tudo sem nunca nos procurar para esclarecimentos.
Remover a dependência antiga seria uma correção rápida de 30 segundos, mas parece que é assim que a Microsoft opera.
Também enviamos um arquivo index.js ofuscado que contém todos os comandos e lógica do tema.
Ele é ofuscado porque a extensão agora é de código fechado; no entanto, se você deletá-lo, a extensão ainda funcionará com arquivos JSON simples.
Até que a situação se esclareça e seja determinado se as extensões são ou não maliciosas, é recomendado remover o seguinte de todos os projetos:
equinusocio.moxer-theme
equinusocio.vsc-material-theme
equinusocio.vsc-material-theme-icons
equinusocio.vsc-community-material-theme
equinusocio.moxer-icons
O desenvolvedor, Astorino, mais tarde publicou o que afirma ser uma "extensão completamente reescrita" sem quaisquer dependências chamada "Fanny Themes" no Marketplace do VSCode, que a Microsoft subsequentemente removeu.
Em resposta às nossas perguntas sobre o arquivo release-notes.js ofuscado, Astorino repetiu o que postou no GitHub, afirmando que uma dependência @sanity estava comprometida e poderia ter sido rapidamente removida se ele tivesse sido notificado.
"O arquivo de notas de versão foi feito e usado para gerar uma visualização na web para mostrar mudanças do sanity.io, um headless cms, de volta em 2016," Astorino disse.
"Nunca toquei nele desde então, pois estava focado na nova versão da extensão. A única coisa prejudicial foi a velha (e única) dependência @sanity, que foi comprometida.Mas eu não sabia disso," finaliza.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...