ATLA WIRE

Исследователи обнаружили уязвимость в VS Code, позволяющую злоумышленникам переиздавать удаленные расширения под теми же именами

29.08.2025
14591
Исследователи обнаружили уязвимость в VS Code, позволяющую злоумышленникам переиздавать удаленные расширения под теми же именами
Уязвимость безопасности на маркетплейсе расширений Visual Studio Code позволяет злоумышленникам повторно использовать имена ранее удаленных расширений, потенциально доставляя вредоносное ПО или программы-вымогатели.

Обнаружена уязвимость VS Code: злоумышленники могут захватывать имена удаленных расширений

Исследователи только что обнародовали сенсационную информацию: уязвимость на маркетплейсе расширений Visual Studio Code позволяет злоумышленникам переиздавать удаленные расширения под теми же именами. Это не просто незначительная ошибка — она открывает дверь для программ-вымогателей и атак на цепочку поставок, подвергая риску миллионы разработчиков.
Уязвимость была обнаружена экспертами по безопасности, которые выяснили, что маркетплейс неправильно обрабатывает повторное использование имен после удаления. Злоумышленники могут использовать это для загрузки вредоносных расширений, которые выглядят легитимными, обманывая пользователей и заставляя их устанавливать их.
Ключевые риски включают: доставку полезных нагрузок программ-вымогателей, компрометацию цепочек поставок программного обеспечения и возможность фишинговых атак. Эта уязвимость подчеркивает сохраняющиеся проблемы в экосистемах с открытым исходным кодом, аналогичные прошлым инцидентам с NPM и PyPI.
  • Уязвимость позволяет переиздавать расширения с теми же именами, что и удаленные.
  • Потенциал для распространения вредоносного ПО и программ-вымогателей.
  • Увеличивает поверхность атаки на цепочку поставок.
  • Затрагивает всех пользователей VS Code, полагающихся на маркетплейс расширений.
Microsoft уведомлена и исследует исправления. Тем временем пользователям рекомендуется проверять источники расширений и поддерживать программное обеспечение в актуальном состоянии для снижения рисков.

Эта уязвимость подчеркивает критическую необходимость надежных мер безопасности в инструментах разработки для предотвращения широкомасштабной эксплуатации.

#VS Code расширения#атаки по цепочке поставок#вредоносное ПО#вымогательство#уязвимости CVE
Есть тема? Пишите ATLA WIRE в Telegram:t.me/atla_community
Banner | ATLA WIRE
ATLA WIRE