Isidor vom VS-Code-Team berichtete, dass ein Community-Mitglied durch eine Sicherheitsanalyse der Erweiterung böswillige Absichten entdeckt habe
Sicherheitsforscher von Microsoft bestätigten dies und fanden zusätzlich verdächtigen Code
Der betreffende Herausgeber wurde aus dem VS Marketplace ausgeschlossen, alle Erweiterungen wurden entfernt und aus VS-Code-Instanzen deinstalliert
Es steht nicht im Zusammenhang mit Urheberrechts- oder Lizenzproblemen, sondern ist eine Maßnahme wegen böswilliger Absichten
Der VS Marketplace investiert fortlaufend in Sicherheit; Informationen zur Vertrauenswürdigkeit bei der Ausführung von Erweiterungen finden sich in der entsprechenden Dokumentation
Jemand hat einen Fork der Erweiterung mit dem Namen "Material Theme (But I Won't Sue You)" erstellt
Der ursprüngliche Maintainer nahm den Quellcode offline und drohte damit, Personen zu verklagen, die alternative Versionen hosten
Für den Fork wurden folgende Maßnahmen ergriffen
Dem VS-Code-Team wurde erlaubt, derzeit ein Audit durchzuführen und ihn sofort zu entfernen, falls etwas Böswilliges gefunden wird
Die Codebasis wurde gründlich auditiert; es wurde nichts Böswilliges gefunden
Sämtlicher Code in Zusammenhang mit Changelog, Analytics, Open Collective und HTML-Rendering wurde entfernt
Der HTML- + sanity-Loader war leicht besorgniserregend, wurde aber vollständig entfernt
In zwei PRs wurden der Großteil der Abhängigkeiten und mehr als 7.000 Zeilen Code entfernt
Auf Reddit gab es jemanden, der bereits vor 7 Monaten verdächtige Änderungen in dieser Erweiterung entdeckt hatte
Obfuskation in Open Source ist ein ernstes Warnsignal
Microsoft sollte das Sicherheitsmodell für VS-Code-Erweiterungen überdenken
Es ist wahrscheinlich, dass weiterhin böswillige Erweiterungen auftauchen werden
Jemand hält den Maintainer dieser Erweiterung für psychisch instabil
Er ist technisch ungeschickt und stößt dadurch gute Leute vor den Kopf
Die Person nutzt die Software nicht, hofft aber, dass er diese Episode hinter sich lassen kann
Eine Alternative namens "Material Theme (But I Won't Sue You)" wurde hochgeladen
Jemand fragt, ob jemand den böswilligen Teil im Repository finden könne
Es wurde berichtet, dass obfuskierten Code entdeckt wurde
Probleme im Zusammenhang mit Material Theme gab es zuvor schon einmal bei IntelliJ
Damals ging es nicht einfach nur um Farben
Es ist interessant, über das Internet die Unterschiede zwischen verschiedenen Menschen kennenzulernen
Man sieht extreme Fälle, in denen sehr viele Abhängigkeiten installiert werden
Seit dem log4j-Vorfall ist man für Sicherheitslücken sensibilisiert
Wenn ein Unternehmen erfolgreich skalieren will, muss es ohne Sicherheitsvorfälle vorankommen
Man sieht Leute, die wegen Farben ihr Unternehmen und ihren Ruf aufs Spiel setzen
Letztlich ist es wichtig, dass jeder sein Leben auf seine eigene Weise lebt
Jemand findet es seltsam, nach Annahme von Beiträgen anderer den Quellcode auf Closed Source umzustellen
Die Person ist kein Urheberrechtsexperte, aber es fühlt sich nicht richtig an
1 Kommentare
Hacker-News-Kommentare
Isidor vom VS-Code-Team berichtete, dass ein Community-Mitglied durch eine Sicherheitsanalyse der Erweiterung böswillige Absichten entdeckt habe
Jemand hat einen Fork der Erweiterung mit dem Namen "Material Theme (But I Won't Sue You)" erstellt
Auf Reddit gab es jemanden, der bereits vor 7 Monaten verdächtige Änderungen in dieser Erweiterung entdeckt hatte
Jemand hält den Maintainer dieser Erweiterung für psychisch instabil
Eine Alternative namens "Material Theme (But I Won't Sue You)" wurde hochgeladen
Jemand fragt, ob jemand den böswilligen Teil im Repository finden könne
Probleme im Zusammenhang mit Material Theme gab es zuvor schon einmal bei IntelliJ
Es ist interessant, über das Internet die Unterschiede zwischen verschiedenen Menschen kennenzulernen
Jemand findet es seltsam, nach Annahme von Beiträgen anderer den Quellcode auf Closed Source umzustellen