Microsoft heeft de extensies ‘Material Theme – Free’ en ‘Material Theme Icons – Free’ opnieuw op de Visual Studio Marketplace geplaatst, nadat bleek dat de versluierde code die ze bevatten niet kwaadaardig was.

De twee VSCode-extensies, die meer dan 9 miljoen installaties tellen, werden eind februari van de VSCode Marketplace verwijderd vanwege veiligheidsrisico’s, en hun uitgever, Mattia Astorino (ook bekend als ‘equinusocio’), werd van het platform verbannen.

“Een lid van de gemeenschap voerde een diepgaande beveiligingsanalyse van de extensie uit en ontdekte meerdere rode vlaggen die op kwaadwillende bedoelingen wijzen en meldde dit aan ons,” verklaarde een medewerker van Microsoft destijds.

“Onze beveiligingsonderzoekers bij Microsoft bevestigden deze bewering en vonden aanvullende verdachte code.”

Onderzoekers Amit Assaraf en Itay Kruk, die AI-gestuurde scanners inzetten om verdachte inzendingen op VSCode te zoeken, markeerden ze eerst als mogelijk kwaadaardig.

De onderzoekers vertelden BleepingComputer dat hun hoog-risico-beoordeling voor Material Theme voortkwam uit wat werd gedetecteerd als de aanwezigheid van code-uitvoercapaciteiten in het “release-notes.js” bestand van het thema, dat ook sterk versluierd was.

Astorino verzette zich onmiddellijk tegen de beschuldigingen en de verwijdering van zijn extensies van de VSCode Marketplace, stellend dat het probleem voortkomt uit een verouderde sanity.io afhankelijkheid die sinds 2016 wordt gebruikt om release-opmerkingen van de headless CMS van sanity te tonen.

De uitgever zei dat ze deze afhankelijkheid in enkele seconden uit de thema’s hadden kunnen verwijderen als Microsoft hen had gecontacteerd, maar in plaats daarvan zagen ze zichzelf zonder waarschuwing verbannen worden.

“Er was niets kwaadaardigs. Ik had de extensie in jaren niet bijgewerkt omdat ik gefocust was op de nieuwe versie, afgezien van het versluieringsproces,” vertelde Astorino vandaag via e-mail aan BleepingComputer.

“Het enige probleem was een build-script dat in de gedistribueerde index.js terechtkwam (verwijzend naar Material Theme Icons). Dit script werd gebruikt om JSON-bestanden te genereren na het ophalen van SVG-iconen uit een gesloten bron repository – iets dat ik lang geleden al heb verwijderd.”

“Wat betreft Material Theme, het versluieringsproces bevatte onbedoeld de sanity.io SDK client, die enkele strings met referentie naar wachtwoorden of gebruikersnamen bevatte (de auth client). Echter, deze waren niet schadelijk – slechts het gevolg van een foutief buildproces van lang geleden.”

Extensies terug in VSMarketplace

Scott Hanselman van Microsoft heeft gisteren zijn excuses aangeboden aan Astorino in een GitHub-vraag die door de ontwikkelaar was geopend met het verzoek om zijn account en thema’s te herstellen.

“Het uitgeversaccount voor Material Theme en Material Theme Icons (Equinusocio) was per ongeluk gemarkeerd en is nu hersteld,” luidt de post van Hanselman.

“In het belang van de veiligheid hebben we snel gehandeld en we hebben een fout gemaakt. We hebben deze thema’s verwijderd omdat ze meerdere malwaredetectie-indicatoren binnen Microsoft activeren, en ons onderzoek kwam tot de verkeerde conclusie.”

“Nogmaals, onze excuses dat de auteur werd meegesleurd in de impact en we kijken uit naar hun toekomstige thema’s en extensies. We hebben met hem gecommuniceerd en hem bedankt voor zijn geduld,” vervolgde Hanselman.

Daarnaast verklaarde Hanselman dat de Visual Studio Code Marketplace haar beleid op versluierde code zal updaten en haar scanners zal bijwerken om te voorkomen dat er in de toekomst snel op projecten wordt gereageerd.

Gevraagd door BleepingComputer over deze ontwikkeling, bleef cyberbeveiligingsonderzoeker Amit Assaraf beweren dat de extensie wel kwaadaardige code bevatte. Echter, er was geen kwaadwillende bedoeling van de uitgever, en gaf aan dat “in dit geval Microsoft te snel handelde.”

Volgens Astorino zijn de Material Theme-extensies op de VSCode marketplace volledig herschreven en veilig te gebruiken.