“Com pacotes de software, temos arquivos de bloqueio, hashes fixados e compilações reproduzíveis. Com extensões IDE (ambiente de desenvolvimento integrado), não temos quase nada. Não há verificação de integridade, nenhum equivalente a package-lock.json, e a maioria das organizações não tem nenhuma política que rege o que os desenvolvedores podem instalar em seus IDEs.”
Atores maliciosos perceberam a lacuna. Para eles, direcionar extensões do VS Code é uma superfície de ataque de menor atrito do que direcionar pacotes, disse ela, especificamente porque os controles que as organizações passaram anos construindo em torno de seus pipelines de dependência simplesmente não existem para extensões.
A razão pela qual apenas algumas das 73 extensões foram ativadas antes da propagação do alerta é certamente deliberada, acrescentou Janca. “Isso parece uma implantação intencionalmente encenada: publique todos eles amplamente para estabelecer credibilidade e acumular downloads e, em seguida, ative subconjuntos prejudiciais ao longo do tempo para evitar o acionamento da detecção em massa e para preservar uma reserva de ativos prontos caso alguns sejam removidos ou detectados.
