Microsoft ha restaurado las extensiones «Material Theme – Free» y «Material Theme Icons – Free» en Visual Studio Marketplace tras confirmar que el código ofuscado que contenían no era malicioso.
Estas dos populares extensiones de VSCode, que acumulaban más de 9 millones de instalaciones, fueron eliminadas a finales de febrero debido a posibles riesgos de seguridad. Como consecuencia, su desarrollador, Mattia Astorino (conocido como «equinusocio»), fue expulsado de la plataforma. Sin embargo, una investigación más profunda ha demostrado que la eliminación fue un error.
Por qué Microsoft eliminó las extensiones de Material Theme en VSCode
Todo comenzó cuando un miembro de la comunidad analizó el código de las extensiones y detectó posibles señales de alerta, notificando a Microsoft sobre un riesgo de seguridad. En respuesta, investigadores de Microsoft realizaron su propia revisión y confirmaron la existencia de código sospechoso.
Los expertos en ciberseguridad Amit Assaraf e Itay Kruk utilizaron escáneres basados en inteligencia artificial (IA) para detectar código potencialmente malicioso en Visual Studio Code Marketplace. Fue entonces cuando identificaron la presencia de código ofuscado en el archivo
1 | "release-notes.js" |
de las extensiones de Material Theme, lo que levantó sospechas sobre posibles ejecuciones de código ocultas.
Como medida de precaución, Microsoft decidió eliminar las extensiones y bloquear la cuenta de Astorino, evitando que los usuarios las descargaran.
Mattia Astorino se defiende: «No hubo intención maliciosa»
Tras la eliminación de sus extensiones, Astorino negó rotundamente cualquier intención maliciosa y argumentó que el problema se debió a una dependencia obsoleta de sanity.io, utilizada desde 2016 para gestionar las notas de versión de Sanity headless CMS.
Según explicó el desarrollador, Microsoft nunca le notificó sobre el problema, lo que le habría permitido eliminar la dependencia en segundos. En cambio, fue expulsado sin previo aviso.
💬 «No hubo nada malintencionado», explicó Astorino en un correo a BleepingComputer.
Además, aclaró que el código ofuscado en Material Theme incluía accidentalmente el SDK de sanity.io, lo que generó falsas alarmas al contener referencias a contraseñas y nombres de usuario. Sin embargo, estas no representaban una amenaza de seguridad real, sino que eran el resultado de un proceso de construcción defectuoso de hace años.
Microsoft se disculpa y restablece las extensiones en Visual Studio Marketplace
Luego de revisar nuevamente el caso, Microsoft reconoció que había cometido un error y decidió restaurar la cuenta de Astorino y sus extensiones en VSCode Marketplace.
🔹 Scott Hanselman, ingeniero de Microsoft, ofreció una disculpa pública en un hilo de GitHub, donde Astorino solicitaba la reinstauración de su cuenta y proyectos.
💬 «En aras de la seguridad, nos movimos rápido y nos equivocamos», admitió Hanselman.
Microsoft justificó su acción inicial argumentando que varios de sus sistemas de detección de malware marcaron las extensiones de Material Theme como potencialmente peligrosas. Sin embargo, luego de un análisis más detallado, concluyeron que la eliminación fue injustificada.
Cambios en la política de Visual Studio Code Marketplace
A raíz de este incidente, Microsoft ha anunciado que actualizará su política sobre código ofuscado en Visual Studio Code Marketplace.
📌 Nuevas medidas de seguridad incluyen:
✔️ Implementación de escáneres mejorados para evitar falsos positivos.
✔️ Mayor transparencia en las notificaciones a los desarrolladores antes de eliminar una extensión.
✔️ Posibilidad de corregir problemas antes de la eliminación de una cuenta o extensión.
¿Qué dicen los expertos en ciberseguridad?
Pese a que Microsoft ha restablecido las extensiones, el investigador de ciberseguridad Amit Assaraf sigue sosteniendo que había código malicioso en las extensiones. No obstante, reconoce que el desarrollador no tenía intenciones maliciosas, afirmando que «Microsoft actuó demasiado rápido».
Material Theme vuelve a VSCode: ¿es seguro usarlo?
Luego de la controversia, Astorino ha reescrito por completo las extensiones de Material Theme, asegurando que ahora son totalmente seguras.
Para los usuarios de VSCode, esto significa que pueden volver a instalar Material Theme sin preocuparse por riesgos de seguridad.
¿Qué aprendemos de este caso?
🔹 Eliminaciones apresuradas pueden afectar a desarrolladores legítimos, como en el caso de Material Theme.
🔹 Microsoft ajustará su política de detección de código ofuscado para evitar futuras confusiones.
🔹 Los usuarios deben estar atentos a las actualizaciones de seguridad en las extensiones de VSCode.
Este caso resalta la importancia de una investigación rigurosa antes de tomar decisiones drásticas que puedan afectar a millones de usuarios y desarrolladores.
Fuente: Bleeping Computer
