Microsoft, içerdikleri gizlenmiş kodun aslında kötü niyetli olmadığını bulduktan sonra ‘Malzeme Teması – Ücretsiz’ ve ‘Malzeme Tema Simgeleri – Ücretsiz’ uzantılarını eski haline getirdi.
9 milyondan fazla kurulumu sayan iki VSCODE uzantısı, Şubat ayı sonlarında güvenlik riskleri üzerinden VSCode pazarından çekildi ve yayıncıları Mattia Astorino (aka ‘Equinusocio’ olarak da bilinir) platformdan yasaklandı.
O zamanlar bir Microsoft çalışanı, “Topluluğun bir üyesi uzantının derin bir güvenlik analizini yaptı ve kötü niyetli niyeti gösteren ve bunu bize bildiren birden fazla kırmızı bayrak buldu.”
“Microsoft’taki güvenlik araştırmacılarımız bu iddiayı doğruladı ve ek şüpheli kod buldu.”
Araştırmacılar Amit Assaraf ve VSCODE’de şüpheli başvurular arayan AI destekli tarayıcılar konuşlandıran Itay Kruk, önce onları potansiyel olarak kötü niyetli olarak işaretlediler.
Araştırmacılar, BleepingComputer’a, malzeme teması için yüksek riskli değerlendirmelerinin, temanın “sürüm-notes.js” dosyasında kod yürütme yeteneklerinin varlığı olarak tespit edilenden kaynaklandığını söyledi.
Kaynak: BleepingComputer
Astorino, sorunun, akıl sağlığı başsız CMS’den sürüm notları göstermek için 2016’dan beri kullanılan modası geçmiş bir akıl sağlığından geldiğini iddia ederek, VSCODE pazarından uzantılarının iddialarına ve kaldırılmasına hemen itiraz etti.
Yayıncı, Microsoft onlarla temasa geçtiyse, bu bağımlılığı saniyeler içinde bu bağımlılığı saniyeler içinde kaldırabileceklerini, ancak bunun yerine uyarı yapmadan yasaklandıklarını gördüler.
Astorino bugün E -posta yoluyla BleepingComputer’a verdiği demeçte, “Kötü niyetli bir şey yoktu. Yeni sürüme odaklandığımdan bu yana uzantıyı, gizleme sürecinin dışında güncellemedim.”
“Tek sorun, dağıtılmış index.js (malzeme tema simgelerine atıfta bulunan) ile sonuçlanan bir yapı komut dosyasıydı. Bu komut dosyası, kapalı kaynaklı bir depodan SVG simgelerini çektikten sonra JSON dosyaları oluşturmak için kullanıldı-uzun zaman önce kaldırdığım bir şey.”
“Malzeme teması ile ilgili olarak, engelsiz olarak şaşkınlık süreci, şifreleri veya kullanıcı adlarını (Auth Client) referans alan bazı dizeler içeren Sandity.io SDK istemcisini içeriyordu. Ancak bunlar zararlı değildi – sadece uzun zaman önce yapılan kusurlu bir yapı sürecinin sonucu.”
VSMarketplace’de uzantılar geri
Microsoft’tan Scott Hanselman dün Astorino’dan özür diledi ve geliştirici tarafından açılan bir GitHub sayısında hesabının ve temalarının eski haline getirilmesini istedi.
Hanselman’ın yazısı, “Maddi tema ve malzeme tema simgeleri (Equinusocio) için yayıncı hesabı yanlışlıkla işaretlendi ve şimdi geri yüklendi.”
“Güvenlik yararına, hızlı hareket ettik ve dağıldık. Bu temaları kaldırdık çünkü Microsoft içinde birden fazla kötü amaçlı yazılım algılama göstergelerini ateşlediler ve soruşturmamız yanlış sonuca vardık.”
Kaynak: BleepingComputer
Hanselman, “Yine, yazarın patlama yarıçapına yakalandığından özür dileriz ve gelecekteki temalarını ve uzantılarını dört gözle bekliyoruz. Onunla yazıştık ve sabrı için ona teşekkür ettik.”
Buna ek olarak, Hanselman, Visual Studio Code Marketplace’in gizlenmiş kod hakkındaki politikasını güncelleyeceğini ve gelecekteki projelere hızlı bir şekilde etki etmekten kaçınmak için tarayıcılarını buna göre güncelleyeceğini belirtti.
BleepingComputer tarafından bu gelişme hakkında sorulduğunda, siber güvenlik araştırmacısı Amit Assaraf, uzantının kötü amaçlı kod içerdiğini iddia etmeye devam etti. Ancak, yayıncıdan kötü niyetli bir niyet yoktu ve “bu durumda Microsoft çok hızlı hareket etti.”
Astorino’ya göre, VSCode pazarındaki maddi tema uzantıları tamamen yeniden yazıldı ve kullanımı güvenli.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.