Visual Studio Code-extensies met 9 miljoen downloads verwijderd om securityrisico's

Microsoft heeft onlangs twee populaire VSCode-extensies, Material Theme – Free en Material Theme Icons – Free, uit zijn Visual Studio Marketplace verwijderd. Dit omdat de extensies mogelijk malware bevatten.

De twee populaire VSCode-extensies Material Theme – Free en Material Theme Icons – Free, met bijna 9 miljoen installs, zijn door Microsoft uit zijn Visual Studio Marketplace verwijderd na onderzoek van externe securityexperts.

De securityexperts ontdekten in hun onderzoek verschillende indicaties dat de extensies mogelijk malware bevatten. De kwaadaardige code zou in een update van de extensies zijn geïntroduceerd, wat kan duiden op een supply chain-aanval via een dependency of op het feit dat het account van de uitgever is gecompromitteerd.

Schermafbeelding van een risico-evaluatie voor de Material Theme-extensie, met een hoge risicoscore met zorgen over schadelijke activiteiten, actieve code, niet-geverifieerde uitgever en verhulde code.

In hun onderzoek stellen de experts dat een thema altijd uit statische JSON-bestanden moet bestaan en geen code mag draaien. In de extensies bleek echter dat de release-notes.js-bestanden in het thema zwaar verborgen JavaScript bevatten. Voor open-source software is dit een indicatie dat er iets mis is.

Schermafbeelding van Kladblok met zwaar verhulde JavaScript-code in het bestand release-notes.js.

De onderzoekers slaagden erin een gedeelte van deze verborgen code te bekijken en constateerden verschillende referenties naar gebruikersnamen en wachtwoorden. Waarnaar deze verwezen, is niet bekend.

Microsoft bevestigt

Microsoft zelf heeft de bewuste VSCode-extensies zelf onderzocht en kwam tot dezelfde conclusie. Ook ontdekte de techgigant meer indicatoren voor malware. De extensies zijn daarop direct uit de VS Marketplace verwijderd. Ook zijn de extensies van alle VSCode-instances waarop ze draaiden verwijderd.

Binnenkort komt de techgigant met meer details over de kwaadaardige extensies en mogelijke kwaadaardige activiteit in de VS Marketplace GitHub-repository.

Reactie uitgever VScode-extensies

De uitgever van beide VSCode-extensies, Mattia Astorino (aka equinusocio), is inmiddels door Microsoft van het platform verbannen. De uitgever had meer dan 13 miljoen installs en was dus een grote speler.

In een reactie op GitHub geeft Astorino aan dat de mogelijke malware-indicatie een fout betrof die al sinds 2016 over het hoofd was gezien. Meer specifiek zou het gaan om een verouderde sanity.io dependency die release notes laat zien van een Sanity headless CMS. Deze fout zou binnen 30 minuten zijn gefixt.

De uitgever reageert verder woedend op het besluit van Microsoft en stelt dat zij voor veel gebruikers nu problemen in VSCode hebben veroorzaakt.

Mattia Astorino publiceerde later in de VSCode Marketplace naar eigen zeggen een compleet herschreven extensie zonder dependencies met de naam Fanny Themes. Deze werd direct door Microsoft verwijderd.

Lees ook: VSCode Marketplace bevat duizenden kwaardaardige extensies

Tech calendar

Visual Studio Code-extensies met 9 miljoen downloads verwijderd om securityrisico’s

Microsoft bevestigt

Reactie uitgever VScode-extensies

Blijf op de hoogte, abonneer!

Oracle-hack: Klanten bevestigen dat gelekte data echt is

Fidelma Russo: “HPE bouwt en koopt wat klanten nodig hebben binnen onze stack”

Tweede groep cybercriminelen richt zich op Belgische websites

Data-analisten nog altijd erg afhankelijk van spreadsheets

Twee jaar generatieve AI: waar staan we nu?

Wat is het nieuwe AI-project Red Hat InstructLab?

Volwassen benadering geeft SAS een voordeel in AI-markt

IT Master in één Dag

Atlassian Team ’25

GITEX ASIA

.NEXT 2025

LambdaConf 2025

Qlik Connect 2025

Hoe kies je het juiste Enterprise Linux-platform?

Hoe selecteer je het juiste ERP-systeem?

Veilige toegang met Zero Trust

Beheer risico’s effectief met unified risk posture