- Регистрация
- 27 Февраль 2018
- Сообщения
- 12 411
- Лучшие ответы
- 0
- Баллы
- 1 293
Offline
Представители Microsoft восстановили расширения Material Theme - Free и Material Theme Icons – Free в магазине Visual Studio Marketplace. Выяснилось, что содержащийся в них обфусцированный код на самом деле не был вредоносным.
Напомним, что в прошлом месяце Microsoft удалила из магазина расширения, загруженные более 9 млн раз, предположив, что в них содержится малварь. Информация о том, что расширения могут быть вредоносными, поступила от независимых ИБ-исследователей Амита Ассарафа (Amit Assaraf) и Итая Крука (Itay Kruk). В своем отчете специалисты писали, что с помощью ИИ-сканеров обнаружили подозрительный код в расширениях, после чего уведомили о своих находках в Microsoft.
По словам исследователей, вредоносный код был внедрен в расширения через обновление, что могло указывать на атаку на цепочку поставок через зависимость или на взлом учетной записи разработчика.
Исследователи сочли, что темы должны представлять собой статические JSON-файлы и не должны выполнять никакого кода, поэтому такое поведение было отмечено как подозрительное. Еще одним тревожным сигналом было наличие сильно обфусцированного jаvascript в файлах release-notes.js.
На эти обвинения разработчик расширений Маттиа Асторино (Mattia Astorino, он же equinusocio) ответил, что проблемы могли быть вызваны устаревшей зависимостью sanity.io, которая «выглядит скомпрометированной». По его словам, в Material Theme никогда не было ничего вредоносного, а единственной проблемой являлась устаревшая зависимость sanity.io, «которая использовалась для отображения release notes из sanity headless CMS».
Хотя Асторино писал, что мог бы удалить эту зависимость за считанные секунды, если бы с ним связались представители Microsoft, вместо этого его попросту заблокировали без всяких предупреждений.
«Там не было ничего вредоносного. Я не обновлял расширение несколько лет, поскольку был сосредоточен на новой версии, не считая процесса обфускации, — объяснил Асторино изданию Bleeping Computer. — Единственной проблемой был сборочный скрипт, который оказался в распространяемом index.js (Material Theme Icons). Этот скрипт использовался для генерации JSON-файлов после извлечения SVG-иконок из закрытого репозитория. От этого я давно избавился.
Что касается Material Theme, то в процессе обфускации непреднамеренно использовался клиент sanity.io SDK, который содержал некоторые строки, ссылающиеся на пароли и имена пользователей (аутентификация клиента). Однако они не были вредоносными, просто результат несовершенного процесса сборки, созданного давным-давно».
На этой неделе разработчик Microsoft Скотт Хансельман (Scott Hanselman) извинился перед Асторино на GitHub.
«Учетная запись издателя Material Theme и Material Theme Icons (Equinusocio) была ошибочно заблокирована и теперь восстановлена, — говорится в сообщении Хансельмана. — В целях безопасности мы действовали быстро и в результате допустили ошибку. Мы удалили темы, поскольку они спровоцировали срабатывание различных индикаторов обнаружения вредоносного ПО в Microsoft, и наше расследование привело к неверным выводам.
Мы еще раз приносим извинения за то, что автор попал в радиус поражения, и с нетерпением ждем его будущих тем и расширений. Мы поддерживали связь и поблагодарили его за терпение».
Помимо этого Хансельман сообщил, что Visual Studio Code Marketplace обновит свои политики в отношении обфусцированного кода, а также соответствующим образом обновит свои сканеры, чтобы избежать подобных ситуаций в будущем.
Напомним, что в прошлом месяце Microsoft удалила из магазина расширения, загруженные более 9 млн раз, предположив, что в них содержится малварь. Информация о том, что расширения могут быть вредоносными, поступила от независимых ИБ-исследователей Амита Ассарафа (Amit Assaraf) и Итая Крука (Itay Kruk). В своем отчете специалисты писали, что с помощью ИИ-сканеров обнаружили подозрительный код в расширениях, после чего уведомили о своих находках в Microsoft.
По словам исследователей, вредоносный код был внедрен в расширения через обновление, что могло указывать на атаку на цепочку поставок через зависимость или на взлом учетной записи разработчика.
Исследователи сочли, что темы должны представлять собой статические JSON-файлы и не должны выполнять никакого кода, поэтому такое поведение было отмечено как подозрительное. Еще одним тревожным сигналом было наличие сильно обфусцированного jаvascript в файлах release-notes.js.
На эти обвинения разработчик расширений Маттиа Асторино (Mattia Astorino, он же equinusocio) ответил, что проблемы могли быть вызваны устаревшей зависимостью sanity.io, которая «выглядит скомпрометированной». По его словам, в Material Theme никогда не было ничего вредоносного, а единственной проблемой являлась устаревшая зависимость sanity.io, «которая использовалась для отображения release notes из sanity headless CMS».
Хотя Асторино писал, что мог бы удалить эту зависимость за считанные секунды, если бы с ним связались представители Microsoft, вместо этого его попросту заблокировали без всяких предупреждений.
«Там не было ничего вредоносного. Я не обновлял расширение несколько лет, поскольку был сосредоточен на новой версии, не считая процесса обфускации, — объяснил Асторино изданию Bleeping Computer. — Единственной проблемой был сборочный скрипт, который оказался в распространяемом index.js (Material Theme Icons). Этот скрипт использовался для генерации JSON-файлов после извлечения SVG-иконок из закрытого репозитория. От этого я давно избавился.
Что касается Material Theme, то в процессе обфускации непреднамеренно использовался клиент sanity.io SDK, который содержал некоторые строки, ссылающиеся на пароли и имена пользователей (аутентификация клиента). Однако они не были вредоносными, просто результат несовершенного процесса сборки, созданного давным-давно».
На этой неделе разработчик Microsoft Скотт Хансельман (Scott Hanselman) извинился перед Асторино на GitHub.
«Учетная запись издателя Material Theme и Material Theme Icons (Equinusocio) была ошибочно заблокирована и теперь восстановлена, — говорится в сообщении Хансельмана. — В целях безопасности мы действовали быстро и в результате допустили ошибку. Мы удалили темы, поскольку они спровоцировали срабатывание различных индикаторов обнаружения вредоносного ПО в Microsoft, и наше расследование привело к неверным выводам.
Мы еще раз приносим извинения за то, что автор попал в радиус поражения, и с нетерпением ждем его будущих тем и расширений. Мы поддерживали связь и поблагодарили его за терпение».
Помимо этого Хансельман сообщил, что Visual Studio Code Marketplace обновит свои политики в отношении обфусцированного кода, а также соответствующим образом обновит свои сканеры, чтобы избежать подобных ситуаций в будущем.
