Microsoft помилково видалила розширення VSCode, якими користувались мільйони розробників
Компанія Microsoft відновила розширення Material Theme – Free і Material Theme Icons – Free на платформі Visual Studio Marketplace після того, як модератор їх видалив через наявність підозріло заплутаного коду. Про це повідомляє Bleeping Computer.
Два розширення VSCode з понад 9 мільйонами завантажень були вилучені з VSCode Marketplace наприкінці лютого через ризики для безпеки, а їх видавця, Маттіа Асторіно (він же «equinusocio»), було забанено.
«Член спільноти провів глибокий аналіз безпеки розширення та виявив кілька червоних прапорців, які вказують на зловмисний намір, і повідомив про це нам. Наші дослідники безпеки в Microsoft підтвердили цю заяву та знайшли додатковий підозрілий код», — заявив тоді співробітник Microsoft.
Автор розширень Асторіно заперечив висунуті проти нього звинувачення, стверджуючи, що проблема виникла через застарілу залежність sanity.io, яка використовується з 2016 року для показу приміток до релізу з Sanity Headless CMS.
Заплутаний код, який викликав занепокоєння
Видавець заявив, що він міг видалити цю залежність із обох розширень за лічені секунди, якби Microsoft зв’язалася з ним, але натомість модератор забанив його без попередження.
«Там не було нічого шкідливого. Я не оновлював розширення протягом багатьох років, оскільки був зосереджений на новій версії», — пояснив Асторіно.
«Єдиною проблемою був сценарій збірки, який опинився в розповсюдженому index.js. Цей сценарій використовувався для створення файлів JSON після отримання піктограм SVG із сховища із закритим вихідним кодом — те, що я давно видалив».
«Процес обфускації випадково включив клієнт sanity.io SDK, який містив деякі рядки, що посилаються на паролі або імена користувачів (клієнт автентифікації). Однак вони не були шкідливими — це лише результат помилкового процесу збирання, зробленого давно».
Після аналізу проблеми представник Microsoft Скотт Хенсельман вибачився перед Асторіно. Обидва розширення та акаунт їхнього видавця були відновлені на платформі Visual Studio Marketplace.
Хенсельман заявив, що Visual Studio Code Marketplace змінить політику щодо обфусцованого коду та оновить свої сканери, щоб уникнути швидкого реагування на проекти в майбутньому.
Незважаючи на офіційні обмеження та конфлікт між Anthropic та Міністерством оборони США, Агентство національної безпеки…
Світ розробки програмного забезпечення зіткнувся з несподіваним побічним ефектом прогресу. Інструменти на базі штучного інтелекту,…
Чутки про занепад ери мобільних додатків виявилися передчасними. Нові дані свідчать про те, що ринок…
Поки Google веде агресивну кампанію з просування платних підписок, розробники Microsoft знайшли спосіб повернути одну…
Здається, в Anthropic вирішили залишити цінник на вітрині старим, але зменшити розмір порції. Програмісти масово…
Компанія Anthropic офіційно представила Claude Design — інноваційний інструмент від підрозділу Anthropic Labs, який дозволяє…