Securityonderzoekers hebben drie ernstige kwetsbaarheden ontdekt in vier populaire VS Code-extensies, die samen meer dan 120 miljoen keer zijn gedownload.
Ontwikkelaars bewaren hun meest gevoelige informatie op lokale systemen, toegankelijk via de IDE. Denk aan bedrijfslogica, API-sleutels, databaseconfiguraties, omgevingsvariabelen en soms zelfs klantdata. Onderzoekers OX Security ontdekten dat één kwaadaardige extensie of één kwetsbaarheid in een enkele extensie, volstaat om laterale bewegingen uit te voeren en volledige organisaties te compromitteren.
De verificatiemechanismen van VS Code kunnen worden gemanipuleerd, waardoor kwaadaardige extensies een “geverifieerde” status behouden terwijl ze schadelijke commando’s op OS-niveau uitvoeren. Het probleem strekt zich uit tot Cursor en Windsurf, twee populaire alternatieven die dezelfde extensie-infrastructuur gebruiken.
Het gevaar schuilt in de bewegingsmogelijkheden binnen verbonden netwerken. Wanneer extensies worden uitgevoerd op een endpoint die een localhost-server draait, ontstaat een hoge kans op blootstelling van gevoelige data en mogelijk overname van de machine. Gecompromitteerde ontwikkelomgevingen stellen organisaties bloot aan aanhoudende risico’s door de hele softwarelevenscyclus.
Geen respons van maintainers
OX Security meldde alle drie de kwetsbaarheden in juli en augustus 2025 via verantwoorde disclosure. Tot op heden hebben geen van de maintainers gereageerd. De securityonderzoekers probeerden hen te bereiken via meerdere kanalen, waaronder directe e-mail, GitHub-pagina’s en sociale netwerken.
Volgens OX Security zijn er meerdere oplossingen nodig. Ten eerste verplichte securitybeoordelingsprocessen voordat extensies worden gepubliceerd naar marktplaatsen, vergelijkbaar met app store-vetting. Daarnaast geautomatiseerde kwetsbaarheidsscans met AI-aangedreven securitytesttools om nieuwe extensies te analyseren voordat ze ontwikkelaars bereiken.
Tot slot zijn afdwingbare responsvereisten nodig voor maintainers van populaire extensies, inclusief verplichte CVE-uitgifte en patchtermijnen. Het huidige “installeer op eigen risico”-model is niet langer houdbaar. Met AI-coding assistants die de ontwikkelingssnelheid versnellen en de afhankelijkheid van IDE-extensies vergroten, groeit het aanvalsoppervlak exponentieel.
Tip: Onzichtbare malware verspreidde zich via VS Code-extensies