Критическая уязвимость найдена в четырех расширениях Visual Studio Code с 128 млн загрузок. OX Security обнаружила, что разработчики подвергаются риску кражи файлов и удаленного выполнения кода. Уязвимости затронули популярные инструменты, включая Live Server и Code Runner. — csoonline.com
В четырех широко используемых расширениях Visual Studio Code с общим числом загрузок в 128 миллионов были обнаружены уязвимости критической и высокой степени опасности, которые подвергают разработчиков риску кражи файлов, удаленного выполнения кода и разведки локальной сети.
Компания OX Security, специализирующаяся на безопасности приложений, опубликовала результаты своего исследования на этой неделе, заявив, что начала уведомлять поставщиков в июне 2025 года, но не получила ответа от трех из четырех сопровождающих.
Три CVE, CVE-2025-65717, CVE-2025-65715 и CVE-2025-65716, были официально присвоены и опубликованы 16 февраля.
Расширения VS Code — это надстройки, которые расширяют функциональность широко используемого редактора кода от Microsoft, добавляя такие возможности, как поддержка языков, инструменты отладки, предварительный просмотр в реальном времени и выполнение кода. Они работают с широким доступом к локальным файлам, терминалам и сетевым ресурсам, что и сделало эти уязвимости столь значительными.
В отличие от вредоносных расширений, которые злоумышленники неоднократно размещали на рынке VS Code, эти недостатки присутствовали в легитимных, широко установленных инструментах, что означало, что у разработчиков не было причин их подозревать, говорится в консультативном заключении OX Security.
«Наше исследование демонстрирует, что хакеру достаточно одного вредоносного расширения или одной уязвимости в одном расширении для выполнения бокового перемещения и компрометации целых организаций», — добавлено в консультативном заключении.
Уязвимости также затронули Cursor и Windsurf — IDE с поддержкой ИИ, построенные на инфраструктуре расширений VS Code.
OX Security опубликовала отдельные консультативные заключения по каждой уязвимости, подробно описывая, как каждая из них может быть использована и чего может добиться злоумышленник.
Как работали атаки
Самая серьезная уязвимость, CVE-2025-65717 (критическая), была обнаружена в Live Server, расширении с 72 миллионами загрузок, которое запускает локальный HTTP-сервер для предварительного просмотра в реальном времени в браузере. OX Security обнаружила, что сервер был доступен с любой веб-страницы, которую посещал разработчик во время его работы, а не только из его собственного браузера.
«Злоумышленникам достаточно отправить вредоносную ссылку жертве, пока Live Server работает в фоновом режиме», — написали исследователи OX Security Моше Симан Тов Бустан и Нир Задок в консультативном заключении.
CVE-2025-65715 (высокая степень опасности) затронула Code Runner, имеющее 37 миллионов загрузок. Расширение считывает команды выполнения из глобального файла конфигурации, и OX Security обнаружила специально созданную запись, которой было достаточно для запуска произвольного выполнения кода, включая обратные оболочки. Злоумышленник мог разместить ее, обманув разработчика, чтобы тот вставил вредоносный фрагмент, или через скомпрометированное расширение, которое незаметно изменило файл.
CVE-2025-65716 (CVSS 8.8) затронула Markdown Preview Enhanced, имеющее 8,5 миллионов загрузок. Простого открытия недоверенного файла Markdown было достаточно для ее срабатывания. «Вредоносный файл Markdown мог запускать скрипты или встроенный контент, который собирает информацию об открытых портах на машине жертвы», — отметили исследователи.
Microsoft незаметно исправила собственное расширение
Четвертая уязвимость развивалась иначе. Расширение Live Preview от Microsoft, имеющее 11 миллионов загрузок, содержало уязвимость межсайтового скриптинга, которая, по данным OX Security, позволяла вредоносной веб-странице перечислять файлы в корневой директории машины разработчика и извлекать учетные данные, ключи доступа и другие секреты.
Исследователи сообщили о проблеме Microsoft 7 августа. Microsoft изначально оценила ее как низкую степень опасности, сославшись на необходимость взаимодействия с пользователем.
«Однако 11 сентября 2025 года, не уведомив нас, Microsoft незаметно выпустила исправление, устраняющее проблемы безопасности XSS, о которых мы сообщили. Мы только недавно обнаружили, что это исправление было развернуто», — добавили исследователи.
Для этой уязвимости не был назначен CVE. «Пользователям с установленным Live Preview следует немедленно обновиться до версии 0.4.16 или новее», — рекомендовали исследователи.
Microsoft не ответила немедленно на запрос о комментарии.
В совокупности эти четыре уязвимости указывают на более широкую проблему с тем, как обеспечивается безопасность инструментов разработчиков и как они поддерживаются.
Что должны делать группы безопасности
«Эти уязвимости подтверждают, что IDE являются самым слабым звеном в безопасности цепочки поставок организации», — заявили исследователи OX Security в консультативном заключении.
Рабочие станции разработчиков обычно содержат ключи API, учетные данные облачных сервисов, строки подключения к базам данных и SSH-ключи. OX Security предупредила, что успешная эксфильтрация данных с одного компьютера может предоставить злоумышленнику доступ к более широкой инфраструктуре организации, а риски распространяются на боковое перемещение и полный захват системы.
Исследователи посоветовали разработчикам отключать неиспользуемые расширения и избегать посещения ненадежных сайтов во время работы локальных серверов. Они также предостерегли от применения фрагментов конфигурации из непроверенных источников к глобальным настройкам VS Code.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gyana Swain