Microsoft heeft onlangs twee populaire VSCode-extensies, Material Theme – Free en Material Theme Icons – Free, uit zijn Visual Studio Marketplace verwijderd. Dit omdat de extensies mogelijk malware bevatten.

De twee populaire VSCode-extensies Material Theme – Free en Material Theme Icons – Free, met bijna 9 miljoen installs, zijn door Microsoft uit zijn Visual Studio Marketplace verwijderd na onderzoek van externe securityexperts.

De securityexperts ontdekten in hun onderzoek verschillende indicaties dat de extensies mogelijk malware bevatten. De kwaadaardige code zou in een update van de extensies zijn geïntroduceerd, wat kan duiden op een supply chain-aanval via een dependency of op het feit dat het account van de uitgever is gecompromitteerd.

In hun onderzoek stellen de experts dat een thema altijd uit statische JSON-bestanden moet bestaan en geen code mag draaien. In de extensies bleek echter dat de release-notes.js-bestanden in het thema zwaar verborgen JavaScript bevatten. Voor open-source software is dit een indicatie dat er iets mis is.

De onderzoekers slaagden erin een gedeelte van deze verborgen code te bekijken en constateerden verschillende referenties naar gebruikersnamen en wachtwoorden. Waarnaar deze verwezen, is niet bekend.

Microsoft bevestigt

Microsoft zelf heeft de bewuste VSCode-extensies zelf onderzocht en kwam tot dezelfde conclusie. Ook ontdekte de techgigant meer indicatoren voor malware. De extensies zijn daarop direct uit de VS Marketplace verwijderd. Ook zijn de extensies van alle VSCode-instances waarop ze draaiden verwijderd.

Binnenkort komt de techgigant met meer details over de kwaadaardige extensies en mogelijke kwaadaardige activiteit in de VS Marketplace GitHub-repository.

Reactie uitgever VScode-extensies

De uitgever van beide VSCode-extensies, Mattia Astorino (aka equinusocio), is inmiddels door Microsoft van het platform verbannen. De uitgever had meer dan 13 miljoen installs en was dus een grote speler.

In een reactie op GitHub geeft Astorino aan dat de mogelijke malware-indicatie een fout betrof die al sinds 2016 over het hoofd was gezien. Meer specifiek zou het gaan om een verouderde sanity.io dependency die release notes laat zien van een Sanity headless CMS. Deze fout zou binnen 30 minuten zijn gefixt.

De uitgever reageert verder woedend op het besluit van Microsoft en stelt dat zij voor veel gebruikers nu problemen in VSCode hebben veroorzaakt.

Mattia Astorino publiceerde later in de VSCode Marketplace naar eigen zeggen een compleet herschreven extensie zonder dependencies met de naam Fanny Themes. Deze werd direct door Microsoft verwijderd.

Lees ook: VSCode Marketplace bevat duizenden kwaardaardige extensies