Microsoft, Visual Studio Code (VSCode) için yaygın olarak kullanılan iki eklentiyi, ‘Material Theme – Free’ ve ‘Material Theme Icons – Free’, kötü amaçlı kod içerdiği gerekçesiyle Visual Studio Marketplace’ten kaldırdı. Toplamda yaklaşık 9 milyon kez indirilen bu eklentiler, kullanıcıların VSCode’unda otomatik olarak devre dışı bırakıldı.
VSCode Eklentileri Neden Kaldırıldı?
Güvenlik araştırmacıları Amit Assaraf ve Itay Kruk, bu eklentilerin kodlarında şüpheli aktiviteler tespit etti. Yaptıkları incelemeler sonucunda, eklentilerin güncellemeleri sırasında kötü amaçlı kodların eklendiğini belirttiler. Bu durum, ya bir tedarik zinciri saldırısı ya da geliştirici hesabının ele geçirilmesi sonucu gerçekleşmiş olabilir.
Microsoft, araştırmacıların bulgularını doğruladı ve eklentileri Marketplace’ten kaldırmanın yanı sıra, geliştiriciyi de platformdan yasakladı. Microsoft çalışanı, YCombinator’ın Hacker News forumunda yaptığı açıklamada, “Topluluk üyeleri eklentilerde kötü amaçlı niyet gösteren birden fazla uyarı işareti buldu. Microsoft güvenlik araştırmacıları da bu iddiaları doğruladı ve ek şüpheli kodlar tespit etti” ifadelerini kullandı.
Araştırmacılar, eklentilerin içerdiği ‘release-notes.js’ dosyasının ağır şekilde karıştırılmış (obfuscated) JavaScript kodu içerdiğini belirledi. Bu tür bir kod, açık kaynaklı yazılımlarda genellikle bir uyarı işareti olarak kabul edilir. Kodun kısmen deşifre edilmesi, kullanıcı adları ve şifrelerle ilgili referanslar ortaya çıkardı. Ancak kodun tam olarak ne yaptığı henüz net değil.
Eklentilerin geliştiricisi Mattia Astorino (equinusocio), sorunun eski bir Sanity.io bağımlılığından kaynaklandığını iddia etti. Astorino, Microsoft’un kendisine ulaşmadan eklentileri kaldırmasını eleştirerek, “Bu bağımlılık 2016’dan beri oradaydı ve o zamandan beri her kontrolü geçti. Şimdi tehlikeye girdiği anlaşılıyor, ancak Microsoft bize ulaşmadı. Milyonlarca kullanıcıya sorun çıkardılar” açıklamasında bulundu.
Astorino, daha sonra bağımlılıkları olmayan ve tamamen yeniden yazıldığını iddia ettiği ‘Fanny Themes’ adlı yeni bir eklenti yayınladı. Ancak bu eklenti de Microsoft tarafından kaldırıldı.
Kullanıcılar Ne Yapmalı?
Durum netleşene kadar, aşağıdaki eklentilerin tüm projelerden kaldırılması öneriliyor:
- equinusocio.moxer-theme
- equinusocio.vsc-material-theme
- equinusocio.vsc-material-theme-icons
- equinusocio.vsc-community-material-theme
- equinusocio.moxer-icons
Microsoft’un bu hamlesi, yazılım geliştiricilerin güvenliğini sağlamak adına önemli bir adım olarak görülüyor. Ancak geliştirici ile Microsoft arasındaki iletişim eksikliği, durumu daha da karmaşık hale getirdi. Kullanıcılar, eklentilerin güvenli olduğu kesinleşene kadar dikkatli olmaları gerekiyor.
