Уязвимости VSCode могут привести к кибератакам на цепочку поставок

Hacker News сообщает, что недавно обнаруженные ошибки в расширениях VSCode могут привести к атакам на цепочку поставок.

Серьезные недостатки безопасности, обнаруженные в популярных расширениях Visual Studio Code, могут позволить злоумышленникам взломать локальные машины, системы сборки и развертывания через интегрированную среду разработки (IDE) разработчика. Уязвимые расширения также могут использоваться для удаленного запуска произвольного кода в системе разработчика, что в итоге может открыть путь для атак на цепочку поставок.

Некоторые из рассматриваемых расширений — это «LaTeX Workshop», «Rainbow Fart», «Открыть в браузере по умолчанию» и «Instant Markdown», которые в совокупности установили около двух миллионов.