Extensión de VSCode contiene código malicioso

«Un lobo en el modo oscuro» (A Wolf in Dark Mode) así ha llamado a su post Amit Assaraf, un conocido analista de extensiones de VSCode. En la última entrada de su blog nos advierte de la extensión «Material Theme«, la cual es una de las más populares en VSCode y que, después de analizarla, contiene código malicioso, aunque actualmente está retirado por Microsoft.

Material Theme – Free es una extensión que cambia el tema de VSCode y que está instalada casi 4 millones de veces, lo que hace que sea una de las más populares entre los desarrolladores, provocando la preocupación de la comunidad.

Evaluación de riesgos del escáner para el tema «Material Theme»
Fuente: app.extensiontotal.com

Por lo que nos cuenta en su blog Amit Assaraf, aunque Microsoft ha eliminado la extensión de su tienda, consiguió exponer a 4 millones de desarrolladores. Su creador, Mattia Astorino (conocido como Equinusocio), es de los más populares en la tienda (cuenta con más de 13 millones de instalaciones en total), teniendo bajo su mano otra popular extensión que cuenta con más de 5 millones de instalaciones, Material Theme Icons — Free. Con el fin de mitigar la problemática, Microsoft también ha eliminado esta extensión, además de otras no relacionadas con Equinusocio, pero sí con personas que comparten nombre con él.

«A member of the community did a deep security analysis of the extension and found multiple red flags that indicate malicious intent and reported this to us. Our security researchers at Microsoft confirmed this claims and found additional suspicious code.»

«We banned the publisher from the VS Marketplace and removed all of their extensions and uninstalled from all VS Code instances that have this extension running. For clarity – the removal had nothing to do about copyright/licenses, only about potential malicious intent.»

Microsoft, refiriéndose a Amit Assaraf e Itay Kruk:

Código malicioso

Los investigadores creen que el código malicioso fue introducido en una actualización de las extensiones, indicando un ataque de la cadena de suministro a través de dependencias o que la cuenta del desarrollador fue comprometida.

Aparentemente el escáner marcó la extensión al detectar la ejecución de código JavaScript, ya que los temas deben ser archivos estáticos y no ejecutar ningún tipo de código.

Código JavaScript ofuscado en el fichero «release-notes.js»
Fuente: BleepingComputer

Microsoft ha indicado que dará más información sobre la extensión y cualquier actividad maliciosa detectada en el mismo repositorio cuando haya podido desofuscar el código completo.

Aparentemente, y según ha confirmado su desarrollador, el problema venía por una dependencia obsoleta llamada «Sanity.io».

A continuación os facilitamos una lista de los proyectos que se recomiendan eliminar hasta que la situación se aclare:

equinusocio.moxer-theme
equinusocio.vsc-material-theme
equinusocio.vsc-material-theme-icons
equinusocio.vsc-community-material-theme
equinusocio.moxer-icons

El enfado del desarrollador

El creador de las extensiones ha indicado que ha desarrollado un nuevo tema desde cero, llamada «Fanny Themes» la cual fue eliminada también por Microsoft posteriormente, lo que ha provocado un enfado en él, el cual ha mostrado en varias publicaciones.

«That dependency has been there since 2016 and passed every check since then, now it looks compromised but NO ONE from Microsoft reached us to remove it. They just pulled down everything causing issues to millions of users, and causing a loop in vscode (yep, it’s their fault)»

«They broke everything without ever reaching out to us for clarification. Removing the old dependency was a quick 30-second fix, but it seems that’s just how Microsoft operates. We also ship an obfuscated index.js file that contains all the theme commands and logic. It’s obfuscated because the extension is now closed-source; however, if you delete it, the extension will still function with plain JSON files.»

Son algunos de los textos que el desarrollador ha ido publicando. Pueden seguir el hilo de GitHub para más información.

Más información:

Acerca de Adrián Vidal

Adrián Vidal Ha escrito 30 publicaciones.

Responsable del departamento de auditoría de Hispasec y jugador de CTF en el equipo español Flaggermeister.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	11 months	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy	11 months	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.