Microsoft помилково видалила розширення VSCode, якими користувались мільйони розробників
Компанія Microsoft відновила розширення Material Theme – Free і Material Theme Icons – Free на платформі Visual Studio Marketplace після того, як модератор їх видалив через наявність підозріло заплутаного коду. Про це повідомляє Bleeping Computer.
Два розширення VSCode з понад 9 мільйонами завантажень були вилучені з VSCode Marketplace наприкінці лютого через ризики для безпеки, а їх видавця, Маттіа Асторіно (він же «equinusocio»), було забанено.
«Член спільноти провів глибокий аналіз безпеки розширення та виявив кілька червоних прапорців, які вказують на зловмисний намір, і повідомив про це нам. Наші дослідники безпеки в Microsoft підтвердили цю заяву та знайшли додатковий підозрілий код», — заявив тоді співробітник Microsoft.
Автор розширень Асторіно заперечив висунуті проти нього звинувачення, стверджуючи, що проблема виникла через застарілу залежність sanity.io, яка використовується з 2016 року для показу приміток до релізу з Sanity Headless CMS.
Заплутаний код, який викликав занепокоєння
Видавець заявив, що він міг видалити цю залежність із обох розширень за лічені секунди, якби Microsoft зв’язалася з ним, але натомість модератор забанив його без попередження.
«Там не було нічого шкідливого. Я не оновлював розширення протягом багатьох років, оскільки був зосереджений на новій версії», — пояснив Асторіно.
«Єдиною проблемою був сценарій збірки, який опинився в розповсюдженому index.js. Цей сценарій використовувався для створення файлів JSON після отримання піктограм SVG із сховища із закритим вихідним кодом — те, що я давно видалив».
«Процес обфускації випадково включив клієнт sanity.io SDK, який містив деякі рядки, що посилаються на паролі або імена користувачів (клієнт автентифікації). Однак вони не були шкідливими — це лише результат помилкового процесу збирання, зробленого давно».
Після аналізу проблеми представник Microsoft Скотт Хенсельман вибачився перед Асторіно. Обидва розширення та акаунт їхнього видавця були відновлені на платформі Visual Studio Marketplace.
Хенсельман заявив, що Visual Studio Code Marketplace змінить політику щодо обфусцованого коду та оновить свої сканери, щоб уникнути швидкого реагування на проекти в майбутньому.
Британський цифровий регулятор (ICO) звернувся до компанії Meta з проханням роз'яснити «тривожні» повідомлення про те,…
Іспанські правоохоронці зупинили масштабну схему легалізації тіньових капіталів, учасники якої цинічно використовували вразливий стан українських…
Android-користувачі бачитимуть спеціальні позначки на сторінках програм, які демонструють аномально високий рівень споживання енергії або…
OpenAI маніпулює фактами щодо своєї нової угоди з Пентагоном, вважає очільник компанії Anthropic Даріо Амодей.…
Google погодилася знизити комісії в маркетплейсі Play Store та прибрати бар’єри для сторонніх магазинів додатків…
OpenAI виділила Codex в окремий десктопний продукт для Windows. Це сталося через місяць після того,…