Антироссийский призыв в консоли разработчика вместе с обновлением Microsoft Visual Studio Code
Компания «Доктор Веб» сообщила о выявлении подозрительного поведения при установке новой версии (1.116) редактора кода Microsoft Visual Studio Code. По данным специалистов, антивирус Dr.Web детектирует вредоносный JavaScript-файл, входящий в состав одной из зависимостей редактора (JS.Siggen5.44590).
Речь идет о библиотеке es5-ext, в которую еще в 2022 году был добавлен сторонний код. Несмотря на давность инцидента, данный фрагмент по-прежнему присутствует в библиотеке и распространяется вместе с рядом программных продуктов.
Что делает вредоносный JS-файл
Обнаруженный код не выполняет классических вредоносных действий (таких как кража данных или установка бэкдоров), однако демонстрирует сообщение в консоли разработчика с антироссийским политическим содержанием.
Скрипт активируется только при выполнении определенного условия — если системный часовой пояс пользователя соответствует одному из российских регионов. В список входят такие города, как Анадырь, Барнаул, Калининград, Самара и другие.
Почему это считается вредоносным поведением
Специалисты «Доктор Веб» классифицируют данный код как нежелательную и потенциально опасную вставку. Причины следующие:
- Код не имеет отношения к функциональности библиотеки;
- Он выполняет действия, зависящие от географического положения пользователя;
- Содержит политическую агитацию, что недопустимо для инфраструктурного ПО.
Хотя на текущий момент скрипт ограничивается выводом сообщения, эксперты отмечают, что разработчик библиотеки теоретически может изменить его поведение в любой момент. В таком случае последствия могут быть значительно серьезнее — вплоть до удаления данных или выполнения произвольного кода на устройстве пользователя.
Как это оказалось в Visual Studio Code
Несмотря на известность проблемы в профессиональном сообществе, библиотека es5-ext была включена в зависимости Visual Studio Code. Это означает, что при обновлении редактора пользователи автоматически получают и данный пакет.
Антивирусное ПО фиксирует проблему на этапе загрузки или распаковки обновления, в котором присутствует скомпрометированная библиотека.
Игорь Здобнов, руководитель антивирусной лаборатории «Доктор Веб»:
Мотивы, по которым Microsoft включила в зависимость заведомо сомнительный пакет, нам неведомы. Мы рекомендуем пользователям обратить внимание на срабатывания антивируса и, при необходимости, временно приостановить автоматическое обновление до выяснения обстоятельств со стороны разработчика.
Последствия для пользователей и рекомендации
Основной риск на данный момент заключается не в непосредственном вреде, а в самом факте наличия неконтролируемого кода в цепочке поставок программного обеспечения.
Пользователям рекомендуется:
- Внимательно относиться к предупреждениям антивируса;
- Проверять обновления перед установкой;
- При необходимости временно отключить автоматические обновления;
- Использовать проверенные версии программного обеспечения.
По информации «Доктор Веб», последняя версия Visual Studio Code, не содержащая данной проблемы, — 1.115.