Microsoft ha retirado dos populares extensiones de VSCode del Visual Studio Marketplace debido a que contenían código malicioso.
Las extensiones en cuestión, Material Theme – Free y Material Theme Icons – Free fueron descargadas casi 9 millones de veces en total y los usuarios ya están recibiendo alertas en VSCode notificando que las extensiones han sido desactivadas automáticamente.
Descubrimiento de Código Malicioso
El desarrollador detrás de estas extensiones, Mattia Astorino (también conocido como equinusocio), tiene múltiples extensiones en el Marketplace de VSCode, acumulando más de 13 millones de instalaciones.
La alerta sobre el código malicioso en estas extensiones provino de los investigadores de ciberseguridad Amit Assaraf e Itay Kruk, quienes se especializan en la detección de extensiones maliciosas en VSCode.
Los investigadores encontraron código sospechoso en las extensiones y lo informaron a Microsoft. En respuesta, la empresa eliminó las extensiones de su marketplace y prohibió al desarrollador.
Según un post de un empleado de Microsoft en Hacker News, un miembro de la comunidad hizo un análisis de seguridad profundo y detectó varias señales rojas que indicaban intenciones maliciosas.
Obfuscación de Código y Riesgos en la Cadena de Suministro
El análisis de los investigadores reveló que las extensiones contenían código JavaScript ofuscado en los archivos de notas de la versión, lo cual es una señal de alerta en el software de código abierto.
En una desofuscación parcial del código, se encontraron referencias a nombres de usuario y contraseñas, aunque no se pudo determinar de inmediato cómo se utilizaban.
El código malicioso podría haber sido introducido en una actualización reciente de las extensiones, lo que sugiere un ataque a la cadena de suministro a través de una dependencia comprometida o incluso un acceso no autorizado a la cuenta del desarrollador.
Respuesta del Desarrollador ⚖️
El desarrollador, Astorino, respondió a las acusaciones asegurando que los problemas fueron causados por una dependencia desactualizada de Sanity.io, un sistema de gestión de contenido que al parecer fue comprometido.
A pesar de eso, Microsoft no se comunicó directamente con él antes de eliminar las extensiones, lo que provocó la desactivación masiva de usuarios afectados.
Astorino explicó que el archivo release-notes.js se utilizaba para mostrar notas de la versión mediante Sanity.io pero que el código nunca fue tocado desde 2016.
Según él, el único problema era la dependencia comprometida que pudo haberse solucionado rápidamente si Microsoft hubiera contactado antes de actuar.
Recomendaciones para los Usuarios de VSCode ⚠️
Mientras la situación se resuelve, se recomienda eliminar las siguientes extensiones de todos los proyectos en curso:
- equinusocio.moxer-theme
- equinusocio.vsc-material-theme
- equinusocio.vsc-material-theme-icons
- equinusocio.vsc-community-material-theme
- equinusocio.moxer-icons
El desarrollador también publicó una nueva extensión llamada “Fanny Themes” sin dependencias, aunque Microsoft procedió también a retirarlo de inmediato.
Conclusión
Aunque la situación sigue siendo incierta, el caso destaca la importancia de verificar las dependencias de las extensiones y de mantener una vigilancia constante sobre el código de terceros.
Las medidas de seguridad de Microsoft están siendo probadas, pero la comunidad de desarrolladores deberá estar alerta para evitar futuros incidentes de seguridad en plataformas de código abierto.