Microsoft вибачилась на помилкове видалення розширень VSCode, якими користувались мільйони розробників

Компанія Microsoft відновила розширення Material Theme – Free і Material Theme Icons – Free на платформі Visual Studio Marketplace після того, як модератор їх видалив через наявність підозріло заплутаного коду. Про це повідомляє Bleeping Computer.

Два розширення VSCode з понад 9 мільйонами завантажень були вилучені з VSCode Marketplace наприкінці лютого через ризики для безпеки, а їх видавця, Маттіа Асторіно (він же «equinusocio»), було забанено.

«Член спільноти провів глибокий аналіз безпеки розширення та виявив кілька червоних прапорців, які вказують на зловмисний намір, і повідомив про це нам. Наші дослідники безпеки в Microsoft підтвердили цю заяву та знайшли додатковий підозрілий код», — заявив тоді співробітник Microsoft.

Автор розширень Асторіно заперечив висунуті проти нього звинувачення, стверджуючи, що проблема виникла через застарілу залежність sanity.io, яка використовується з 2016 року для показу приміток до релізу з Sanity Headless CMS.

Видавець заявив, що він міг видалити цю залежність із обох розширень за лічені секунди, якби Microsoft зв’язалася з ним, але натомість модератор забанив його без попередження.

«Там не було нічого шкідливого. Я не оновлював розширення протягом багатьох років, оскільки був зосереджений на новій версії», — пояснив Асторіно.

«Єдиною проблемою був сценарій збірки, який опинився в розповсюдженому index.js. Цей сценарій використовувався для створення файлів JSON після отримання піктограм SVG із сховища із закритим вихідним кодом — те, що я давно видалив».

«Процес обфускації випадково включив клієнт sanity.io SDK, який містив деякі рядки, що посилаються на паролі або імена користувачів (клієнт автентифікації). Однак вони не були шкідливими — це лише результат помилкового процесу збирання, зробленого давно».

Після аналізу проблеми представник Microsoft Скотт Хенсельман вибачився перед Асторіно. Обидва розширення та акаунт їхнього видавця були відновлені на платформі Visual Studio Marketplace.

Хенсельман заявив, що Visual Studio Code Marketplace змінить політику щодо обфусцованого коду та оновить свої сканери, щоб уникнути швидкого реагування на проекти в майбутньому.