Создатели плагинов для широко распространенного редактора кода Microsoft VS Code нередко оставляют уязвимости, которые могут привести к утечке конфиденциальных данных, способствуя масштабным кибератакам на цепочки поставок, сообщает The Register.
Компания Wiz Security, специализирующаяся на информационной безопасности, провела детальный анализ 500 расширений, доступных в магазинах VS Code и Open VSX. В ходе исследования было выявлено свыше 550 действующих секретных данных.
Под термином «секреты» обычно понимаются учетные данные, токены авторизации, API-ключи, шифровальные ключи, сертификаты безопасности и аналогичная информация.
Wiz Security классифицировала найденные в коде расширений секреты по 67 категориям. Основная их часть относится к одной из трех групп в зависимости от типа программного обеспечения или сервисов, к которым они предоставляют доступ: платформы генеративного ИИ; «высокорисковые профессиональные решения», включая IaaS- и PaaS-провайдеров Amazon Web Services и Google Cloud Platform; сервис аутентификации Auth0, работающий по модели IDaaS; хостинг проектов GitHub; системы управления базами данных, такие как MongoDB и PostgreSQL.
Более 100 из обнаруженных 500+ секретов потенциально позволяют злоумышленнику взять под контроль процесс обновления расширения. Другими словами, обладатель такой конфиденциальной информации мог бы внедрить вредоносный код в плагин и распространить его на компьютеры пользователей. Эта задача упрощается тем, что VS Code по умолчанию автоматически обновляет установленные расширения.
Специалисты Wiz подчеркнули, что найденные токены персонального доступа (PAT), используемые для обновления исследованных плагинов, теоретически позволяли одновременно заразить примерно 150 тыс. компьютеров пользователей VS Code.
Многие из этих пользователей устанавливают расширения, которые лишь изменяют визуальное оформление интерфейса редактора. Хотя такие плагины не могут повлиять на написанный код, они могут быть использованы злоумышленниками для доставки вредоносного программного обеспечения на устройства жертв.
Среди целей атаки через систему обновлений плагинов оказались и крайне привлекательные для злоумышленников с финансовой точки зрения объекты. Специалисты Wiz сообщают, что в перечне фигурирует «китайская корпорация-гигант с капитализацией $30 млрд». Исследователи не раскрыли название этой фирмы, которая создала расширение для VS Code, изначально ориентированное сугубо на внутреннее применение. Подобный подход, хоть и считается небезопасным, остается распространённым, поскольку многие организации предпочитают удобство в ущерб защищённости, подчёркивают в Wiz.
«Фирменные расширения получили широкое распространение и создают перспективные векторы для атак при их взломе», – комментирует Рами Маккарти (Rami McCarthy), ведущий эксперт по безопасности в Wiz.
Как отмечает специалист, одним из подобных расширений, формирующих дополнительную угрозу, владеет российская компания, работающая в строительно-технологической отрасли.
Аналитики заранее проинформировали Microsoft о найденных уязвимостях, после чего корпорация внедрила автоматическую проверку Visual Studio Marketplace на наличие расширений, способных привести к утечке конфиденциальных сведений, включая секретные данные. Теперь такие плагины блокируются. Впервые о намерении запустить новую систему фильтрации опасных дополнений Microsoft объявила в августе 2025 года, а реальные блокировки стартовали в конце сентября.
По информации The Register, Wiz и Microsoft связались с авторами проблемных расширений для исправления обнаруженных недочётов.
VS Code – один из наиболее востребованных редакторов исходного кода с открытой лицензией. Это полностью свободное программное обеспечение, распространяемое на условиях MIT.
Microsoft открыла исходники среды разработки VS Code и разместила их на GitHub в ноябре 2015 года. Пробная версия редактора вышла в апреле 2015 года. Одновременно с публикацией кода компания анонсировала начало бета-тестирования. Ключевым новшеством бета-версии стала возможность подключения расширений.
Исходная база VS Code послужила основой для множества ответвлений, включая VS Codium и Cursor. Рост их популярности побудил Microsoft запретить применение плагинов для VS Code в продуктах других разработчиков. Данное ограничение действует как минимум с сентября 2020 года, когда были обнародованы актуальные лицензионные условия для подключаемых модулей. В апреле 2025 года, как информировал CNews, корпорация намеренно нарушила совместимость чрезвычайно популярного расширения для программирования на C и C++ с альтернативными средами разработки.
