Исследователи из компании по кибербезопасности OX Security, Моше Симан Тов Бустан и Нир Цадок, выявили серьезные недостатки в экосистеме Microsoft Visual Studio Code (VS Code). В отчете, переданном изданию The Hacker News, сообщается о критических уязвимостях в четырех расширениях, совокупная база установок которых превышает 125 миллионов. Выявленные бреши открывают возможности для кражи локальных файлов, удаленного выполнения кода (RCE) и горизонтального перемещения внутри сети с целью компрометации целых организаций.
Наибольшую угрозу представляют плохо написанные или обладающие избыточными правами расширения, которые становятся непосредственной угрозой для безопасности. Эксперты подчеркивают легкость, с которой может быть осуществлен взлом: «Может потребоваться всего один клик или один загруженный репозиторий, чтобы скомпрометировать всё». Хакеру достаточно одной уязвимости для начала атаки на корпоративную инфраструктуру.
Расширение Live Server оказалось уязвимым для эксфильтрации локальных файлов. Механизм атаки заключается в том, чтобы заставить разработчика посетить вредоносный веб-сайт во время работы расширения. Внедренный на страницу JavaScript сканирует локальный сервер разработки HTTP на адресе localhost:5500, извлекает данные и передает их на домен злоумышленника. На текущий момент статус этой уязвимости — не исправлено.
В расширении Markdown Preview Enhanced была обнаружена уязвимость с идентификатором CVE-2025-65716 и высокой оценкой серьезности CVSS 8.8. Загрузка специально подготовленного файла разметки (ur.md) инициирует выполнение произвольного кода JavaScript, перечисление локальных портов и утечку данных на сторонний сервер. Для этой проблемы патч безопасности также пока отсутствует.
Инструмент Code Runner содержит уязвимость CVE-2025-65715 с оценкой CVSS 7.8. Вектор атаки здесь опирается на социальную инженерию или фишинг: злоумышленнику необходимо убедить пользователя изменить файл конфигурации «settings.json». Успешная манипуляция приводит к выполнению произвольного кода. Данная уязвимость на сегодняшний день остается неисправленной.
Четвертое расширение, Microsoft Live Preview, также позволяло осуществлять перечисление и кражу конфиденциальных файлов через вредоносные JavaScript-запросы, нацеленные на локальный хост. В отличие от остальных, эта проблема была устранена. Microsoft выпустила «тихое» исправление в версии 0.4.16 в сентябре 2025 года, и пользователям следует проверить актуальность установленной версии.
Для защиты среды разработки специалисты рекомендуют соблюдать строгие меры предосторожности. Необходимо избегать применения ненадежных конфигураций и регулярно обновлять все используемые расширения. Важно отключить или удалить все несущественные для работы инструменты, чтобы сократить поверхность атаки.
Дополнительные меры безопасности включают укрепление локальной сети с помощью брандмауэра для жесткого ограничения входящих и исходящих соединений. Также разработчикам следует выключать сервисы, работающие на localhost, в моменты, когда они не используются активно, чтобы предотвратить несанкционированный доступ извне.
Изображение носит иллюстративный характер
Наибольшую угрозу представляют плохо написанные или обладающие избыточными правами расширения, которые становятся непосредственной угрозой для безопасности. Эксперты подчеркивают легкость, с которой может быть осуществлен взлом: «Может потребоваться всего один клик или один загруженный репозиторий, чтобы скомпрометировать всё». Хакеру достаточно одной уязвимости для начала атаки на корпоративную инфраструктуру.
Расширение Live Server оказалось уязвимым для эксфильтрации локальных файлов. Механизм атаки заключается в том, чтобы заставить разработчика посетить вредоносный веб-сайт во время работы расширения. Внедренный на страницу JavaScript сканирует локальный сервер разработки HTTP на адресе localhost:5500, извлекает данные и передает их на домен злоумышленника. На текущий момент статус этой уязвимости — не исправлено.
В расширении Markdown Preview Enhanced была обнаружена уязвимость с идентификатором CVE-2025-65716 и высокой оценкой серьезности CVSS 8.8. Загрузка специально подготовленного файла разметки (ur.md) инициирует выполнение произвольного кода JavaScript, перечисление локальных портов и утечку данных на сторонний сервер. Для этой проблемы патч безопасности также пока отсутствует.
Инструмент Code Runner содержит уязвимость CVE-2025-65715 с оценкой CVSS 7.8. Вектор атаки здесь опирается на социальную инженерию или фишинг: злоумышленнику необходимо убедить пользователя изменить файл конфигурации «settings.json». Успешная манипуляция приводит к выполнению произвольного кода. Данная уязвимость на сегодняшний день остается неисправленной.
Четвертое расширение, Microsoft Live Preview, также позволяло осуществлять перечисление и кражу конфиденциальных файлов через вредоносные JavaScript-запросы, нацеленные на локальный хост. В отличие от остальных, эта проблема была устранена. Microsoft выпустила «тихое» исправление в версии 0.4.16 в сентябре 2025 года, и пользователям следует проверить актуальность установленной версии.
Для защиты среды разработки специалисты рекомендуют соблюдать строгие меры предосторожности. Необходимо избегать применения ненадежных конфигураций и регулярно обновлять все используемые расширения. Важно отключить или удалить все несущественные для работы инструменты, чтобы сократить поверхность атаки.
Дополнительные меры безопасности включают укрепление локальной сети с помощью брандмауэра для жесткого ограничения входящих и исходящих соединений. Также разработчикам следует выключать сервисы, работающие на localhost, в моменты, когда они не используются активно, чтобы предотвратить несанкционированный доступ извне.
