Создатели дополнений для широко используемого редактора исходного кода Microsoft VS Code нередко оставляют уязвимости, которые могут привести к утечке данных, способных при попадании к злоумышленникам спровоцировать серьёзные кибератаки на цепочки поставок, сообщает The Register.
Компания Wiz Security, специализирующаяся на информационной безопасности, провела детальный анализ 500 расширений, доступных в магазинах VS Code и Open VSX. В ходе исследования было выявлено свыше 550 действующих конфиденциальных данных.
Подобные «секреты» обычно включают учетные данные (логины и пароли), токены доступа и авторизации, API-ключи, шифровальные ключи, защитные сертификаты и аналогичные элементы.
Специалисты Wiz Security классифицировали найденные в коде расширений конфиденциальные сведения на 67 категорий. Основная их часть относится к одной из трёх групп в зависимости от типа программного обеспечения или сервисов, к которым они предоставляют доступ: платформы генеративного ИИ; «высокорисковые профессиональные решения», такие как IaaS- и PaaS-провайдеры Amazon Web Services и Google Cloud Platform; сервис идентификации Auth0 (IDaaS), платформа для хостинга IT-проектов GitHub; системы управления базами данных, включая MongoDB и PostgreSQL.
Более 100 из обнаруженных 500+ секретов потенциально позволяют злоумышленнику взять под контроль процесс обновления расширения. Другими словами, лицо, владеющее этой конфиденциальной информацией, могло бы внедрить вредоносный код в дополнение и распространить его на компьютеры пользователей. Ситуацию усугубляет тот факт, что VS Code по умолчанию автоматически обновляет установленные расширения.
Эксперты Wiz подчеркнули, что найденные токены персонального доступа (Personal Access Token, PAT), используемые для обновления исследованных дополнений, на практике могли бы привести к заражению примерно 150 тысяч компьютеров пользователей VS Code одновременно.
Многие из этих пользователей устанавливают расширения, которые просто изменяют визуальное оформление интерфейса редактора. Хотя такие плагины не могут повредить программный код, создаваемый разработчиком, они всё же могут быть использованы злоумышленниками для доставки вредоносного программного обеспечения на устройства жертв.
Среди целей атаки через механизм обновления плагинов оказались и коммерчески привлекательные для злоумышленников объекты. В Wiz сообщают, что в их число входит «китайская мегакорпорация стоимостью $30 млрд». Исследователи не раскрыли название этой фирмы, которая выпустила расширение для VS Code, изначально созданное только для внутреннего применения. Подобная практика, хоть и рискованная, остается распространённой — многие организации предпочитают удобство в ущерб защищённости, подчёркивают в Wiz.
Виктор Урусов, Скала^р: Мы успешно соперничали с западными системами ПАК ещё до 2022 года
«Вендорские расширения широко распространены и создают дополнительные возможности для атак при их взломе», — отмечает Рами Маккарти (Rami McCarthy), ведущий специалист по безопасности в Wiz.
Эксперт уточнил, что одно из подобных расширений, открывающих новые векторы атак, принадлежит российской компании, работающей в строительной отрасли.
Специалисты заранее уведомили Microsoft о найденных уязвимостях, после чего корпорация внедрила автоматическую проверку Visual Studio Marketplace на наличие расширений, способных привести к утечке конфиденциальных данных, включая секреты. Такие плагины теперь блокируются. О намерении запустить систему фильтрации опасных дополнений Microsoft впервые объявила в августе 2025 года, а реальные блокировки начались в конце сентября.
По информации The Register, Wiz и Microsoft связались с авторами проблемных расширений для исправления обнаруженных недочётов.
VS Code — один из наиболее востребованных редакторов кода с открытым исходным кодом. Это полностью свободное ПО, распространяемое по лицензии MIT.
Microsoft открыла исходный код VS Code и разместила его на GitHub в ноябре 2015 года. Пробная версия редактора вышла в апреле 2015 года. Одновременно с публикацией кода компания объявила о начале бета-тестирования, ключевой особенностью которого стала поддержка расширений.
Исходный код VS Code стал основой для множества ответвлений, включая VS Codium и Cursor. Рост их популярности побудил Microsoft запретить использование плагинов VS Code в продуктах сторонних производителей. Это ограничение действует как минимум с сентября 2020 года, когда были опубликованы актуальные лицензионные условия для подключаемых модулей. В апреле 2025 года, как сообщал CNews, корпорация намеренно сделала популярное расширение для программирования на C и C++ несовместимым с альтернативными средами разработки.
