Microsoft помилково видалила розширення VSCode, якими користувались мільйони розробників
Компанія Microsoft відновила розширення Material Theme – Free і Material Theme Icons – Free на платформі Visual Studio Marketplace після того, як модератор їх видалив через наявність підозріло заплутаного коду. Про це повідомляє Bleeping Computer.
Два розширення VSCode з понад 9 мільйонами завантажень були вилучені з VSCode Marketplace наприкінці лютого через ризики для безпеки, а їх видавця, Маттіа Асторіно (він же «equinusocio»), було забанено.
«Член спільноти провів глибокий аналіз безпеки розширення та виявив кілька червоних прапорців, які вказують на зловмисний намір, і повідомив про це нам. Наші дослідники безпеки в Microsoft підтвердили цю заяву та знайшли додатковий підозрілий код», — заявив тоді співробітник Microsoft.
Автор розширень Асторіно заперечив висунуті проти нього звинувачення, стверджуючи, що проблема виникла через застарілу залежність sanity.io, яка використовується з 2016 року для показу приміток до релізу з Sanity Headless CMS.
Заплутаний код, який викликав занепокоєння
Видавець заявив, що він міг видалити цю залежність із обох розширень за лічені секунди, якби Microsoft зв’язалася з ним, але натомість модератор забанив його без попередження.
«Там не було нічого шкідливого. Я не оновлював розширення протягом багатьох років, оскільки був зосереджений на новій версії», — пояснив Асторіно.
«Єдиною проблемою був сценарій збірки, який опинився в розповсюдженому index.js. Цей сценарій використовувався для створення файлів JSON після отримання піктограм SVG із сховища із закритим вихідним кодом — те, що я давно видалив».
«Процес обфускації випадково включив клієнт sanity.io SDK, який містив деякі рядки, що посилаються на паролі або імена користувачів (клієнт автентифікації). Однак вони не були шкідливими — це лише результат помилкового процесу збирання, зробленого давно».
Після аналізу проблеми представник Microsoft Скотт Хенсельман вибачився перед Асторіно. Обидва розширення та акаунт їхнього видавця були відновлені на платформі Visual Studio Marketplace.
Хенсельман заявив, що Visual Studio Code Marketplace змінить політику щодо обфусцованого коду та оновить свої сканери, щоб уникнути швидкого реагування на проекти в майбутньому.
Компанія Amazon оголосила про безкоштовну роздачу річних платних ліцензій на користування інструментом кодування Kiro Pro+,…
Компанія OpenAI представила експериментальну систему «визнання», яка вчить LLM-моделі чесно повідомляти про власні помилки та…
Google оголосила про запуск Workspace Studio — нової платформи, яка дозволяє створювати агентів штучного інтелекту…
В Anthropic провели внутрішнє опитування 132 програмістів та дослідників, 53 поглиблених інтерв'ю та проаналізували використання…
На щорічній конференції Re:Invent, яка проходить цими днями в Лас-Вегасі, керівник AWS Метт Гарман оголосив…
Компанія OpenAI працює над новою LLM-моделлю Garlic («Часник»), яка спеціалізується на програмуванні та логічних завданнях.…