Isidor, da equipe do VS Code, relatou que um membro da comunidade descobriu intenção maliciosa ao analisar a segurança da extensão
Pesquisadores de segurança da Microsoft confirmaram isso e encontraram código suspeito adicional
O publicador foi bloqueado no VS Marketplace, e todas as extensões foram removidas e desinstaladas das instâncias do VS Code
Isso não está relacionado a direitos autorais ou questões de licença, mas sim a uma ação contra intenção maliciosa
O VS Marketplace continua investindo em segurança, e informações sobre a confiança na execução de extensões podem ser consultadas na documentação relacionada
Houve quem criasse um fork da extensão chamado "Material Theme (But I Won't Sue You)"
O mantenedor original colocou o código-fonte offline e ameaçou processar quem hospedasse versões alternativas
Em relação ao fork, foram tomadas as seguintes medidas
A equipe do VS Code está realizando uma auditoria no momento e recebeu permissão para removê-lo imediatamente se algo malicioso for encontrado
A base de código foi auditada minuciosamente, e nada malicioso foi encontrado
Todo o código relacionado a changelog, analytics, Open Collective e renderização HTML foi removido
O loader de HTML + sanity gerou alguma preocupação, mas foi totalmente removido
A maior parte das dependências e mais de 7.000 linhas de código foram removidas em dois PRs
No Reddit, alguém havia identificado mudanças suspeitas nessa extensão 7 meses atrás
Obfuscação em software open source é um sinal de alerta grave
A Microsoft precisa repensar o modelo de segurança para extensões do VS Code
Há possibilidade de extensões maliciosas continuarem aparecendo
Alguém acha que o mantenedor dessa extensão está mentalmente instável
Por falta de habilidade técnica, acaba afastando pessoas boas
Não usa o software, mas espera que ele supere esse episódio
Uma alternativa chamada "Material Theme (But I Won't Sue You)" foi publicada
Alguém perguntou se seria possível encontrar a parte maliciosa no repositório
Relatou ter encontrado código ofuscado
Problemas relacionados ao Material Theme já haviam acontecido antes no IntelliJ
Naquela ocasião, não era apenas uma questão de cores
É interessante aprender sobre as diferenças entre várias pessoas pela internet
Acaba-se vendo casos extremos de instalação de muitas dependências
Depois do caso do log4j, ficou-se mais sensível a vulnerabilidades de segurança
Para uma empresa escalar com sucesso, ela precisa avançar sem incidentes de segurança
Vê-se gente colocando a empresa e a própria reputação em risco por causa de cores
No fim, o importante é cada um viver a vida do seu próprio jeito
Alguém considera estranho ter tornado o código-fonte fechado depois de aceitar contribuições de outras pessoas
Não é especialista em direitos autorais, mas isso parece errado
1 comentários
Comentários do Hacker News
Isidor, da equipe do VS Code, relatou que um membro da comunidade descobriu intenção maliciosa ao analisar a segurança da extensão
Houve quem criasse um fork da extensão chamado "Material Theme (But I Won't Sue You)"
No Reddit, alguém havia identificado mudanças suspeitas nessa extensão 7 meses atrás
Alguém acha que o mantenedor dessa extensão está mentalmente instável
Uma alternativa chamada "Material Theme (But I Won't Sue You)" foi publicada
Alguém perguntou se seria possível encontrar a parte maliciosa no repositório
Problemas relacionados ao Material Theme já haviam acontecido antes no IntelliJ
É interessante aprender sobre as diferenças entre várias pessoas pela internet
Alguém considera estranho ter tornado o código-fonte fechado depois de aceitar contribuições de outras pessoas