A Microsoft voltou atrás na remoção das extensões ‘Material Theme – Free’ e ‘Material Theme Icons – Free’ do Visual Studio Marketplace. A empresa reconheceu que o código ofuscado presente nas ferramentas não era malicioso, como inicialmente suspeitado.
Microsoft reverte remoção de extensões VSCode e pede desculpas ao desenvolvedor
Imagem: BleepingComputer
Remoção precipitada por preocupações de segurança
As extensões, que acumulam mais de 9 milhões de downloads, foram retiradas do VSCode Marketplace no final de fevereiro sob alegada suspeita de ameaça à segurança. Como resultado, o desenvolvedor Mattia Astorino, conhecido como ‘equinusocio’, teve sua conta banida da plataforma.
A Microsoft afirmou que uma análise feita por pesquisadores de segurança indicou a presença de elementos suspeitos no código. Amit Assaraf e Itay Kruk, especialistas que utilizam scanners baseados em IA para identificar riscos, foram os primeiros a sinalizar a possível ameaça. Eles detectaram a presença de recursos de execução de código no arquivo “release-notes.js”, que também apresentava alto nível de ofuscação.
Desenvolvedor contesta acusação e explica a origem do problema
Astorino rejeitou as alegações e esclareceu que o problema estava relacionado a uma dependência obsoleta do sanity.io, usada desde 2016 para exibir notas de versão do Sanity Headless CMS. Ele ressaltou que poderia ter removido o código rapidamente caso a Microsoft tivesse entrado em contato antes da remoção.
Segundo o desenvolvedor, a ofuscação inadvertida incluía um cliente SDK do sanity.io contendo strings relacionadas a autenticação, como nomes de usuários e senhas, mas sem riscos reais. Além disso, um script de construção erroneamente acabou sendo distribuído no index.js dos ícones do Material Theme, um problema corrigido há tempos.
Microsoft restabelece extensões e revisa políticas
Após intensa repercussão, Scott Hanselman, representante da Microsoft, publicou um pedido de desculpas no GitHub e anunciou a reversão da remoção. Ele admitiu que a empresa agiu apressadamente e reconheceu o erro na avaliação do caso.
Hanselman também revelou que a Microsoft pretende atualizar suas diretrizes sobre código ofuscado e aprimorar seus scanners para evitar exclusões precipitadas no futuro. Enquanto isso, Assaraf manteve sua posição, afirmando que o código analisado tinha elementos problemáticos, mas sem intenção maliciosa por parte do desenvolvedor.
Astorino confirmou que reescreveu completamente as extensões do Material Theme para garantir segurança total. Agora, ambas as ferramentas estão de volta ao Visual Studio Marketplace e prontas para uso.