Microsoft heeft recentelijk twee veelgebruikte Visual Studio Code-extensies, Material Theme – Free en Material Theme Icons – Free, uit de Visual Studio Marketplace verwijderd. De techgigant nam deze stap na een onderzoek waarin externe securityexperts aanwijzingen vonden dat de extensies mogelijk malware bevatten.
Malware-indicatie en onderzoek
De twee extensies, samen goed voor bijna 9 miljoen downloads, kwamen onder de loep van securityonderzoekers die verdachte patronen in de code ontdekten. Uit het onderzoek bleek dat de kwaadaardige code vermoedelijk via een update werd geïntroduceerd. Dit kan duiden op een supply chain-aanval via een kwetsbare dependency of een gecompromitteerd account van de uitgever.
Een opvallend aspect van de ontdekking was dat thema-extensies doorgaans enkel statische JSON-bestanden bevatten en geen actieve code uitvoeren. In dit geval vonden de onderzoekers echter zwaar verhuld JavaScript in de release-notes.js-bestanden van de extensies. Dit is ongebruikelijk voor open-source software en werd als een sterke indicatie van misbruik gezien.
Bij nader onderzoek bleek de verborgen code onder meer referenties naar gebruikersnamen en wachtwoorden te bevatten. Het exacte doel en de herkomst van deze referenties blijven vooralsnog onduidelijk.
Microsoft bevestigt en neemt actie
Microsoft voerde na de melding van de securityexperts zelf een grondige analyse uit en bevestigde de bevindingen. Het bedrijf ontdekte zelfs aanvullende indicatoren van mogelijk schadelijke activiteit. Op basis van deze informatie werd besloten om de extensies onmiddellijk uit de Visual Studio Marketplace te verwijderen.
Daarnaast heeft Microsoft een extra stap gezet door de extensies op afstand van alle systemen te verwijderen waarop ze waren geïnstalleerd. Dit moet voorkomen dat gebruikers onbewust blootgesteld blijven aan mogelijke risico’s.
Het bedrijf heeft aangekondigd binnenkort met meer details te komen over de exacte aard van de kwaadaardige code en andere verdachte activiteiten binnen de Visual Studio Marketplace en bijbehorende GitHub-repository.
Reactie van de uitgever
De ontwikkelaar van beide verwijderde extensies, Mattia Astorino (beter bekend als equinusocio), is als gevolg van deze situatie door Microsoft van het platform verbannen. Astorino had in totaal meer dan 13 miljoen installaties op zijn naam en was een prominente ontwikkelaar binnen de VSCode-gemeenschap.
In een verklaring op GitHub verdedigt Astorino zich door te stellen dat de malware-indicatie berust op een fout die sinds 2016 over het hoofd was gezien. Volgens hem zou het probleem veroorzaakt zijn door een verouderde dependency (sanity.io), die gebruikt werd om release notes te genereren vanuit een Sanity headless CMS. Hij benadrukt dat het probleem binnen 30 minuten kon worden verholpen.
Astorino uitte felle kritiek op Microsofts besluit en stelt dat het verwijderen van de extensies voor veel gebruikers onnodige problemen heeft veroorzaakt binnen Visual Studio Code.
Na de ban probeerde hij een volledig herschreven extensie zonder afhankelijkheden, genaamd Fanny Themes, te publiceren in de VSCode Marketplace. Echter, Microsoft verwijderde deze extensie onmiddellijk, zonder verdere toelichting.
De situatie rondom deze verwijderde VSCode-extensies roept vragen op over de beveiliging van open-source ontwikkelplatformen en de risico’s van supply chain-aanvallen. Microsofts toekomstige updates over deze zaak worden met belangstelling afgewacht.
Door: Drifter
Aanbevolen Reacties
Er zijn geen reacties om weer te geven.
Log in om te reageren
Je kunt een reactie achterlaten na het inloggen
Login met de gegevens die u gebruikt bij softtrack