Исследователи OX Security Нир Задок и Моше Симан Тов Бустан выявили критическую уязвимость в механизме проверки расширений для популярных сред разработки: Microsoft Visual Studio Code, Visual Studio, IntelliJ IDEA и Cursor. Злоумышленники могут присваивать вредоносным плагинам статус «верифицированных», обходя встроенные системы защиты.

Процесс верификации в Visual Studio Code включает отправку HTTP POST-запроса на
Эксплуатация уязвимости позволяет выполнять произвольные команды на машинах жертв. В Proof of Concept (PoC) от OX Security вредоносное расширение запускало системные приложения — например, Калькулятор Windows. Технику успешно воспроизвели в IntelliJ IDEA и Cursor, модифицируя проверочные значения без потери статуса.
Основной вектор атаки — установка плагинов из неофициальных источников, таких как GitHub. Злоумышленники распространяют поддельные «верифицированные» расширения, получая контроль над средами разработки. Риск включает удалённое выполнение кода (RCE) и кражу учетных данных, токенов или исходного кода.
Microsoft классифицировала поведение как «преднамеренное», заявив, что проверка подписи расширений блокирует публикацию вредоносов в официальном Marketplace. Однако уязвимость остаётся актуальной: последняя успешная эксплуатация зафиксирована 29 июня 2025 года. The Hacker News запросил у компании дополнительные комментарии.
> «Возможность внедрять вредоносный код в расширения, упаковывать их в VSIX/ZIP-файлы и устанавливать с сохранением статуса верификации создаёт серьёзную угрозу. Особенно для разработчиков, использующих плагины из интернет-ресурсов», — подчеркивают эксперты OX Security.
Для защиты избегайте установки расширений из GitHub или других сторонних платформ. Загружайте плагины исключительно через официальные маркетплейсы. Не полагайтесь на значок «галочки» как индикатор безопасности — проверяйте репутацию издателя и историю обновлений.

Изображение носит иллюстративный характер
Процесс верификации в Visual Studio Code включает отправку HTTP POST-запроса на
marketplace.visualstudio[.]com
. Атакующие клонируют параметры проверенных расширений (например, Microsoft), подменяя их в своих VSIX/ZIP-файлах. Это сохраняет синий значок «галочки», вводя разработчиков в заблуждение. Эксплуатация уязвимости позволяет выполнять произвольные команды на машинах жертв. В Proof of Concept (PoC) от OX Security вредоносное расширение запускало системные приложения — например, Калькулятор Windows. Технику успешно воспроизвели в IntelliJ IDEA и Cursor, модифицируя проверочные значения без потери статуса.
Основной вектор атаки — установка плагинов из неофициальных источников, таких как GitHub. Злоумышленники распространяют поддельные «верифицированные» расширения, получая контроль над средами разработки. Риск включает удалённое выполнение кода (RCE) и кражу учетных данных, токенов или исходного кода.
Microsoft классифицировала поведение как «преднамеренное», заявив, что проверка подписи расширений блокирует публикацию вредоносов в официальном Marketplace. Однако уязвимость остаётся актуальной: последняя успешная эксплуатация зафиксирована 29 июня 2025 года. The Hacker News запросил у компании дополнительные комментарии.
> «Возможность внедрять вредоносный код в расширения, упаковывать их в VSIX/ZIP-файлы и устанавливать с сохранением статуса верификации создаёт серьёзную угрозу. Особенно для разработчиков, использующих плагины из интернет-ресурсов», — подчеркивают эксперты OX Security.
Для защиты избегайте установки расширений из GitHub или других сторонних платформ. Загружайте плагины исключительно через официальные маркетплейсы. Не полагайтесь на значок «галочки» как индикатор безопасности — проверяйте репутацию издателя и историю обновлений.