Команда исследователей обнаружила критические уязвимости в нескольких популярных расширениях для Visual Studio Code, суммарное число установок которых превышает 125 миллионов. Уязвимости позволяют злоумышленникам выполнить произвольный код или получить доступ к конфиденциальным данным через уязвимые плагины, что делает проблему особенно серьёзной для разработчиков и компаний, использующих VS Code в рабочем процессе. Проблема касается не единичных малоизвестных аддонов, а действительно широко используемых дополнений, что повышает риск массовых атак.

Эксперты предупреждают, что злоумышленники могут внедрять вредоносный код в процессе обновлений или использовать уязвимости в механизмах расширений, чтобы обойти привычные меры защиты редактора. Разработчики уязвимых расширений уже получили уведомления и выпускают исправления, однако специалистам и простым пользователям рекомендуют предпринять дополнительные меры безопасности: проверить список установленных расширений, установить обновления немедленно, временно отключить сомнительные плагины и ограничить права доступа редактора к системе и репозиториям. Также целесообразно следить за официальными сообщениями поставщика VS Code и источников безопасности. Эта ситуация подчёркивает важность бдительности при выборе и обновлении расширений: даже удобные и популярные инструменты могут таить риск. Регулярный аудит установленных аддонов и простые превентивные шаги помогут снизить вероятность компрометации рабочих окружений.