Isidor, de l’équipe VS Code, a signalé qu’un membre de la communauté avait découvert une intention malveillante en analysant la sécurité de l’extension
Des chercheurs en sécurité de Microsoft l’ont confirmé et ont en outre trouvé du code suspect
Cet éditeur a été bloqué sur la VS Marketplace, toutes ses extensions ont été supprimées et retirées des instances de VS Code
Cela n’a rien à voir avec un problème de droits d’auteur ou de licence, mais relève d’une mesure prise face à une intention malveillante
VS Marketplace continue d’investir dans la sécurité, et des informations sur la fiabilité de l’exécution des extensions sont disponibles dans la documentation correspondante
Quelqu’un a créé un fork de l’extension intitulée "Material Theme (But I Won't Sue You)"
Le mainteneur d’origine a mis le code source hors ligne et a menacé de poursuivre ceux qui hébergent des versions alternatives
Les mesures suivantes ont été prises pour le fork
L’équipe VS Code mène actuellement un audit et a reçu l’autorisation de le retirer immédiatement si quelque chose de malveillant est découvert
La base de code a été auditée en profondeur et rien de malveillant n’a été trouvé
Tout le code lié au changelog, aux analytics, à Open Collective et au rendu HTML a été supprimé
Le loader HTML + sanity suscitait quelques inquiétudes, mais il a été entièrement supprimé
Deux PR ont permis de retirer la plupart des dépendances ainsi que plus de 7 000 lignes de code
Sur Reddit, quelqu’un avait repéré des modifications suspectes dans cette extension il y a 7 mois
L’obfuscation dans l’open source est un signal d’alarme majeur
Microsoft devrait repenser le modèle de sécurité des extensions VS Code
Il est probable que des extensions malveillantes continuent d’apparaître
Quelqu’un pense que le mainteneur de cette extension est mentalement instable
Son manque d’aisance avec la technique finit par éloigner les bonnes personnes
Il n’utilise pas ce logiciel, mais espère qu’il parviendra à surmonter cet épisode
Une alternative appelée "Material Theme (But I Won't Sue You)" a été mise en ligne
Quelqu’un demande si l’on peut trouver la partie malveillante dans le dépôt
Il signale avoir trouvé du code obfusqué
Des problèmes liés à Material Theme s’étaient déjà produits auparavant sur IntelliJ
À l’époque, il ne s’agissait pas simplement d’un problème de couleurs
Il est intéressant de découvrir, via Internet, à quel point les gens peuvent être différents
On voit des cas extrêmes d’installation d’un grand nombre de dépendances
Depuis l’affaire log4j, on est devenu plus sensible aux failles de sécurité
Pour qu’une entreprise change d’échelle avec succès, il faut avancer sans incident de sécurité
On voit des gens mettre leur entreprise et leur réputation en danger pour une question de couleurs
Au final, l’important est que chacun vive sa vie à sa manière
Quelqu’un trouve étrange d’avoir accepté les contributions d’autres personnes avant de rendre ensuite le code source privé
Il n’est pas expert en droit d’auteur, mais cela lui semble incorrect
1 commentaires
Avis sur Hacker News
Isidor, de l’équipe VS Code, a signalé qu’un membre de la communauté avait découvert une intention malveillante en analysant la sécurité de l’extension
Quelqu’un a créé un fork de l’extension intitulée "Material Theme (But I Won't Sue You)"
Sur Reddit, quelqu’un avait repéré des modifications suspectes dans cette extension il y a 7 mois
Quelqu’un pense que le mainteneur de cette extension est mentalement instable
Une alternative appelée "Material Theme (But I Won't Sue You)" a été mise en ligne
Quelqu’un demande si l’on peut trouver la partie malveillante dans le dépôt
Des problèmes liés à Material Theme s’étaient déjà produits auparavant sur IntelliJ
Il est intéressant de découvrir, via Internet, à quel point les gens peuvent être différents
Quelqu’un trouve étrange d’avoir accepté les contributions d’autres personnes avant de rendre ensuite le code source privé