Microsoft помилково видалила розширення VSCode, якими користувались мільйони розробників
Компанія Microsoft відновила розширення Material Theme – Free і Material Theme Icons – Free на платформі Visual Studio Marketplace після того, як модератор їх видалив через наявність підозріло заплутаного коду. Про це повідомляє Bleeping Computer.
Два розширення VSCode з понад 9 мільйонами завантажень були вилучені з VSCode Marketplace наприкінці лютого через ризики для безпеки, а їх видавця, Маттіа Асторіно (він же «equinusocio»), було забанено.
«Член спільноти провів глибокий аналіз безпеки розширення та виявив кілька червоних прапорців, які вказують на зловмисний намір, і повідомив про це нам. Наші дослідники безпеки в Microsoft підтвердили цю заяву та знайшли додатковий підозрілий код», — заявив тоді співробітник Microsoft.
Автор розширень Асторіно заперечив висунуті проти нього звинувачення, стверджуючи, що проблема виникла через застарілу залежність sanity.io, яка використовується з 2016 року для показу приміток до релізу з Sanity Headless CMS.
Заплутаний код, який викликав занепокоєння
Видавець заявив, що він міг видалити цю залежність із обох розширень за лічені секунди, якби Microsoft зв’язалася з ним, але натомість модератор забанив його без попередження.
«Там не було нічого шкідливого. Я не оновлював розширення протягом багатьох років, оскільки був зосереджений на новій версії», — пояснив Асторіно.
«Єдиною проблемою був сценарій збірки, який опинився в розповсюдженому index.js. Цей сценарій використовувався для створення файлів JSON після отримання піктограм SVG із сховища із закритим вихідним кодом — те, що я давно видалив».
«Процес обфускації випадково включив клієнт sanity.io SDK, який містив деякі рядки, що посилаються на паролі або імена користувачів (клієнт автентифікації). Однак вони не були шкідливими — це лише результат помилкового процесу збирання, зробленого давно».
Після аналізу проблеми представник Microsoft Скотт Хенсельман вибачився перед Асторіно. Обидва розширення та акаунт їхнього видавця були відновлені на платформі Visual Studio Marketplace.
Хенсельман заявив, що Visual Studio Code Marketplace змінить політику щодо обфусцованого коду та оновить свої сканери, щоб уникнути швидкого реагування на проекти в майбутньому.
Міністерство оборони України розширило можливість сплати штрафів через мобільний додаток Резерв+. Тепер у ньому можна…
Втома від техніки, яка швидко зношується, змушує українців переглядати підхід до покупок. Відтепер на перше…
Спеціалісти компанії Apiiro, які проаналізували код з десятків тисяч репозиторіїв, виявили, що розробники за допомогою…
Маркетплейс Brave1 — онлайн-платформа, що об'єднує українських військових та розробників — запускає грантовий конкурс з…
4-5 жовтня в Києві на Подолі пройде захід Vibecoding Hackathon. Протягом двох днів розробники, користувачі…
OpenAI готується запустити платформу для найму, яка конкуруватиме з LinkedIn. Майбутній сервіс під назвою OpenAI…