Een nieuwe studie van geïntegreerde ontwikkelingsomgevingen (IDE’s) zoals Microsoft Visual Studio Code, Visual Studio, IntelliJ Idea en Cursor heeft zwakke punten onthuld in hoe ze omgaan met het extensieverificatieproces, waardoor aanvallers uiteindelijk schadelijke code kunnen uitvoeren op ontwikkelaarsmachines.
“We hebben ontdekt dat gebrekkige verificatiecontroles in Visual Studio -code uitgevers in staat stellen functionaliteit toe te voegen aan extensies met behoud van het geverifieerde pictogram,” zeiden Ox -beveiligingsonderzoekers Nir Zadok en Moshe Siman Tov Bustan in een rapport dat wordt gedeeld met het Hacker News. “Dit resulteert in het potentieel voor kwaadaardige extensies om geverifieerd en goedgekeurd te lijken, waardoor een vals gevoel van vertrouwen ontstaat.”
In het bijzonder bleek uit de analyse dat Visual Studio Code een HTTP -postverzoek verzendt naar het domein “Marketplace.VisualStudio (.) Com” om te bepalen of een extensie is geverifieerd of anderszins.
De exploitatiemethode omvat in wezen het creëren van een kwaadaardige extensie met dezelfde verifieerbare waarden als een reeds geverifieerde extensie, zoals die van Microsoft, en het omzeilen van vertrouwenscontroles.
Als gevolg hiervan kunnen Rogue -extensies worden geverifieerd bij nietsvermoedende ontwikkelaars, terwijl het ook code bevat die besturingssysteemopdrachten kan uitvoeren.
Vanuit een beveiligingsstandpunt is dit een klassiek geval van misbruik van uitbreiding die sideloading misbruik, waarbij slechte acteurs plug -ins verspreiden buiten de officiële markt. Zonder de juiste handhaving van de code of vertrouwde uitgeververificatie, kunnen zelfs legitiem ogende extensies gevaarlijke scripts verbergen.
Voor aanvallers opent dit een toegangspunt met lage barrière om de externe code-uitvoering te bereiken-een risico dat vooral ernstig is in ontwikkelingsomgevingen waar gevoelige referenties en broncode vaak toegankelijk zijn.
In een proof-of-concept (POC) aangetoond door het Cybersecurity Company, werd de extensie geconfigureerd om de calculator-app op een Windows-machine te openen, waardoor de mogelijkheid wordt benadrukt om opdrachten op de onderliggende host uit te voeren.
Door de waarden te identificeren die worden gebruikt in verificatieverzoeken en het wijzigen ervan bleek het mogelijk te zijn om een vsix -pakketbestand te maken zodat het de kwaadaardige extensie legitiem lijkt.
Ox Security zei dat het in staat was om de fout te reproduceren over andere IDE’s zoals IntelliJ Idee en Cursor door de waarden te wijzigen die voor verificatie worden gebruikt zonder ze hun geverifieerde status te laten verliezen.
Als reactie op verantwoorde openbaarmakingen zei Microsoft dat het gedrag door ontwerp is en dat de wijzigingen zullen voorkomen dat de VSIX -extensie op de markt wordt gepubliceerd vanwege extensie -handtekeningverificatie die standaard op alle platforms is ingeschakeld.
Het Cybersecurity Company vond de fout echter al recent op 29 juni 2025. Het Nieuws van Hacker heeft Microsoft bereikt voor commentaar en we zullen het verhaal bijwerken als we terug horen.
De bevindingen laten opnieuw zien dat alleen vertrouwen op het geverifieerde symbool van extensies riskant kan zijn, omdat aanvallers ontwikkelaars kunnen misleiden om kwaadaardige code te laten lopen zonder hun medeweten. Om dergelijke risico’s te verminderen, wordt geadviseerd om extensies rechtstreeks van officiële marktplaatsen te installeren in tegenstelling tot het gebruik van VSIX -extensiebestanden die online worden gedeeld.
“De mogelijkheid om kwaadaardige code in extensies te injecteren, ze als VSIX/ZIP -bestanden te verpakken en te installeren met behoud van de geverifieerde symbolen op meerdere grote ontwikkelingsplatforms, vormt een serieus risico,” zeiden de onderzoekers. “Deze kwetsbaarheid heeft met name invloed op ontwikkelaars die extensies installeren van online bronnen zoals GitHub.”
