Microsoft, Material Theme – Free ve Material Theme Icons – Free isimli iki önemli VS Code eklentisini içerisinde barındırdığı kötü amaçlı kodlar sebebiyle Visual Studio Marketplace’ten kaldırma kararı aldı. Bu iki eklenti, toplamda 9 milyon indirme sayısına ulaşmıştı. Artık VS Code kullanıcıları, bu eklentileri kullanmaya çalıştıklarında otomatik olarak devre dışı bırakıldıklarına dair bir uyarı almaktadırlar. İşte bu gelişmenin detayları…
Microsoft, 9 milyon kullanıcılı iki popüler VS Code eklentisinde güvenlik açığı tespit etti
Siber güvenlik araştırmacıları Amit Assaraf ve Itay Kruk, eklentilerde anormal bir kod yapılandırması tespit ederek durumu Microsoft’a bildirdi. Geleneksel olarak temalar statik JSON dosyaları ile çalışırken, bu eklentiler “release-notes.js” adlı karmaşık ve şifrelenmiş JavaScript kodları barındırıyordu. Açık kaynak yazılımlarda böyle bir kod yapısı genellikle kötü niyetli etkinliklerin habercisi olarak değerlendiriliyor.
