Isidor, del equipo de VS Code, informó que un miembro de la comunidad descubrió intenciones maliciosas mediante un análisis de seguridad de la extensión
Investigadores de seguridad de Microsoft lo confirmaron y además encontraron código sospechoso adicional
Bloquearon a ese publicador en VS Marketplace, eliminaron todas sus extensiones y las quitaron de las instancias de VS Code
No está relacionado con problemas de copyright o licencias, sino con una medida por intención maliciosa
VS Marketplace sigue invirtiendo en seguridad, y la información sobre la confianza en la ejecución de extensiones puede consultarse en la documentación correspondiente
Hay alguien que creó un fork de la extensión llamado "Material Theme (But I Won't Sue You)"
El mantenedor original puso el código fuente fuera de línea y amenazó con demandar a quienes alojaran versiones alternativas
Tomó las siguientes medidas respecto al fork
Dio permiso para que el equipo de VS Code realice una auditoría ahora mismo y pueda retirarlo de inmediato si encuentra algo malicioso
Auditó a fondo la base de código y no encontró nada malicioso
Eliminó todo el código relacionado con changelog, analíticas, Open Collective y renderizado HTML
El cargador de HTML + sanity generaba cierta preocupación, pero fue eliminado por completo
En dos PR eliminó la mayoría de las dependencias y más de 7,000 líneas de código
En Reddit, alguien detectó cambios sospechosos en esta extensión hace 7 meses
La ofuscación en código abierto es una señal de alerta seria
Microsoft debería replantear el modelo de seguridad para las extensiones de VS Code
Es probable que sigan apareciendo extensiones maliciosas
Alguien cree que el mantenedor de esta extensión está mentalmente inestable
Tiene poca habilidad técnica y por eso aleja a gente valiosa
No usa el software, pero espera que logre superar este episodio
Se subió una alternativa llamada "Material Theme (But I Won't Sue You)"
Alguien pregunta si otra persona puede encontrar la parte maliciosa en el repositorio
Responden que encontraron código ofuscado
Ya había habido problemas relacionados con Material Theme antes en IntelliJ
En ese momento no era simplemente un tema de colores
Es interesante aprender sobre las diferencias entre distintas personas a través de internet
Se ven casos extremos de instalación de muchísimas dependencias
Desde el incidente de log4j, hay más sensibilidad frente a vulnerabilidades de seguridad
Para que una empresa escale con éxito, tiene que hacerlo sin incidentes de seguridad
Se ve a personas poniendo en riesgo a una empresa y su reputación por un tema de colores
Al final, lo importante es que cada quien viva su vida a su manera
A alguien le parece extraño que, después de aceptar contribuciones de otras personas, se haya vuelto privado el código fuente
No es experto en copyright, pero siente que eso no está bien
1 comentarios
Comentarios en Hacker News
Isidor, del equipo de VS Code, informó que un miembro de la comunidad descubrió intenciones maliciosas mediante un análisis de seguridad de la extensión
Hay alguien que creó un fork de la extensión llamado "Material Theme (But I Won't Sue You)"
En Reddit, alguien detectó cambios sospechosos en esta extensión hace 7 meses
Alguien cree que el mantenedor de esta extensión está mentalmente inestable
Se subió una alternativa llamada "Material Theme (But I Won't Sue You)"
Alguien pregunta si otra persona puede encontrar la parte maliciosa en el repositorio
Ya había habido problemas relacionados con Material Theme antes en IntelliJ
Es interesante aprender sobre las diferencias entre distintas personas a través de internet
A alguien le parece extraño que, después de aceptar contribuciones de otras personas, se haya vuelto privado el código fuente