Выберите отрасль

ИТ-технологииИИ (AI)КибербезопасностьБизнесУстройстваФинансыОбществоТорговляРазвлеченияАвтоМедицинаПромышленностьТранспортТуризмПередовые технологииНедвижимостьЭнергетика
Октябрь 2025   |   Обзор события   | 7

Microsoft блокирует уязвимые расширения VS Code после утечки данных

Исследователи Wiz Security выявили утечку более 550 конфиденциальных данных в расширениях для VS Code и Open VSX, включая аксесс-токены, API-ключи и сертификаты, связанные с генеративными ИИ-платформами, высокорисковыми сервисами и базами данных. Microsoft с августа 2025 года начала сканировать Marketplace на наличие секретов, а с сентября блокировать уязвимые расширения, удалив рискованные версии после координации с исследователями.

ИСХОДНЫЙ НАРРАТИВ

По данным Wiz Security, исследователи обнаружили утечку более 550 конфиденциальных данных в расширениях для редактора кода VS Code и платформы Open VSX. Среди утечек — аксесс-токены, API-ключи, сертификаты и другие чувствительные элементы. Основные категории утечек группируются по трем направлениям: генеративные ИИ-платформы, высокорисковые профессиональные сервисы (включая AWS, GCP, Auth0, GitHub) и базы данных (например, MongoDB, PostgreSQL).

Сканирование секретов от Microsoft

Критически важной оказалась утечка более 100 секретов, позволяющих злоумышленникам обновлять расширения. Поскольку VS Code автоматически обновляет расширения, это создавало риск масштабных атак на цепочку поставок. Риск оценивается в потенциальном заражении около 150,000 пользователей, включая тех, кто устанавливал темы оформления — расширения, которые, как считалось, менее уязвимы, но могут содержать вредоносный код.

Microsoft, получив информацию о проблеме, с августа 2025 года внедрила сканирование секретов в Visual Studio Marketplace. С 22 сентября 2025 года блокируются расширения с утечками. Ранее сотрудники Wiz Security и Microsoft работали с разработчиками: первые уведомили о наиболее рискованных случаях, вторые — удалили оставшиеся уязвимые версии. Планируется, что все расширения будут пересмотрены, а пользователи получат только очищенные версии.

Масштабы и последствия

Анализ показывает, что утечки секретов ИИ-платформ составляют значительную долю. Это связано с практикой «вайб-кодинга» — использования интуитивных, но не всегда безопасных методов. Уязвимости в корпоративных расширениях (например, для внутреннего использования) усиливают риски, особенно если такие инструменты публикуются для широкой аудитории.

С учетом доминирующего положения VS Code и роста популярности альтернативных редакторов с ИИ-функциями (например, Cursor, Windsurf), меры Microsoft могут снизить угрозы для миллионов разработчиков. Однако, как отмечают эксперты, проблема утечек в пакетных репозиториях остается актуальной.

Интересно: Сможет ли автоматизация сканирования секретов компенсировать человеческий фактор в разработке расширений, особенно при использовании ИИ-инструментов, где безопасность часто уступает скорости?

АНАЛИТИЧЕСКИЙ РАЗБОР

Утечки в VS Code: Расширение границ рисков и ответные меры

Утечки как вектор для масштабных атак

Обнаруженные утечки секретов в экосистеме VS Code и Open VSX вышли за рамки отдельных инцидентов. По данным Wiz Security, злоумышленники могут использовать утечку аксесс-токенов и API-ключей для модификации расширений, что открывает путь к атакам на цепочку поставок. Это особенно критично в контексте роста автоматизированных кибератак [!]. Там отмечается, что злоумышленники активно применяют ИИ для генерации вредоносных программ, а также фокусируются на легитимных инструментах, включая продукты Microsoft. Утечки в VS Code могут стать частью такой схемы:

  • Риск захвата учетных данных: Утечка API-ключей сервисов вроде AWS или GitHub позволяет злоумышленникам получить доступ к корпоративным ресурсам.
  • Атаки на цепочку поставок: Автоматическое обновление расширений в VS Code, как указано в оригинальной новости, может распространять модифицированные версии с вредоносным кодом.
  • Интеграция с облачными сервисами: Утечки в облачных платформах (например, Azure) усиливают угрозы, так как злоумышленники могут использовать украденные учетные данные для атак на корпоративные инфраструктуры.

Концептуальное изображение
Создано специально для ASECTOR
Концептуальное изображение

Технологии Microsoft: Защита и вызовы

Microsoft отреагировала на утечки, внедрив сканирование секретов в Visual Studio Marketplace. Это часть более широкой стратегии укрепления безопасности, продемонстрированной в обновлении Windows 11 версии 25H2 [!]. Новое обновление включает:

  • ИИ-анализ кода: Технологии искусственного интеллекта применяются для обнаружения уязвимостей на этапе разработки.
  • Удаление устаревших компонентов: Система становится менее уязвимой за счет исключения устаревших инструментов (например, PowerShell 2.0).
  • Оптимизация архитектуры: Улучшения направлены на снижение рисков, связанных с эксплуатацией уязвимостей в выполнении кода.

Однако эти меры не решают проблему человеческого фактора. Как отмечено в оригинальном анализе, практика «вайб-кодинга» продолжает приводить к утечкам, особенно в корпоративных расширениях.

Рост зависимости от VS Code в ИИ-проектах

VS Code становится центральным элементом в экосистеме машинного обучения. Платформа K2 Cloud и К2 НейроТех [!] интегрирует редактор в процесс разработки ИИ-моделей, используя его для анализа данных и визуализации результатов. Это создает новые риски:

  • Утечка данных моделирования: Конфиденциальные данные, используемые для обучения моделей, могут быть компрометированы через уязвимые расширения.
  • Зависимость от сторонних инструментов: Расширения, включая темы оформления, могут содержать скрытые угрозы, особенно если их авторы не соблюдают стандарты безопасности.
  • Скорость против контроля: Автоматизация ускоряет запуск проектов, но снижает внимание к проверке кода на наличие секретов.

Практические шаги для минимизации рисков

Для российских компаний, активно использующих VS Code, важно:

  1. Внедрить внутренние системы проверки: Автоматизировать сканирование расширений на наличие секретов, как это делает Microsoft.
  2. Обучить сотрудников: Повысить осведомленность о рисках «вайб-кодинга» и необходимости проверки кода перед публикацией.
  3. Использовать альтернативные редакторы: Для критически важных проектов рассмотреть переход на решения с открытым исходным кодом, где можно контролировать безопасность экосистемы.

Ключевой вывод: Технологические меры, такие как сканирование секретов и обновления Windows, важны, но недостаточны. Без изменения поведения разработчиков утечки останутся системным риском. Для российских организаций актуален баланс между скоростью разработки и культурой безопасности, особенно в условиях роста автоматизированных атак и интеграции ИИ в бизнес-процессы.

Контакты Асектор ✉

Коротко о главном

Какие категории утечек были самыми критичными?

Основные утечки касались генеративных ИИ-платформ, высокорисковых сервисов (AWS, GCP, GitHub) и баз данных (MongoDB, PostgreSQL), что усиливало уязвимости для масштабных атак.

Почему утечка более 100 секретов стала угрозой?

Эти секреты позволяли злоумышленникам обновлять расширения, а автоматические обновления VS Code рисковали распространить вредоносный код на 150,000 пользователей.

Как Microsoft реагировала на утечки?

С августа 2025 года компания внедрила сканирование секретов в Visual Studio Marketplace, а с 22 сентября 2025 — начала блокировать уязвимые расширения.

Что стало причиной утечек в корпоративных расширениях?

Практика «вайб-кодинга» (быстрого, но небезопасного программирования) и публикация внутренних инструментов для широкой аудитории привели к утечкам.

Какие меры предпринимались до блокировки?

Wiz Security уведомила разработчиков о рисках, а Microsoft удалила уязвимые версии, чтобы обеспечить выпуск очищенных расширений.

Инфографика событий

Открыть инфографику на весь экран


Участники и связи

Отрасли: ИТ и программное обеспечение; Искусственный интеллект (AI); Кибербезопасность

Темы: Обеспечение безопасности систем искусственного интеллекта; Подход к управлению рисками в информационных технологиях; Предоставление доступа к конфиденциальной информации третьим лицам;

Amazon Inc Auth0 (аутентификация) Code Cursor GitHub Google Cloud Microsoft MongoDB Open Visual Studio eXtension Postgresql Windsurf

Оценка значимости: 7 из 10

Событие затрагивает российских разработчиков, использующих VS Code и Open VSX, что делает утечку критически важной для IT-сферы. Масштаб аудитории региональный, но с прямым влиянием на безопасность и экономику. Меры Microsoft снижают риски, но проблема утечек в цепочке поставок остается актуальной, затрагивая несколько сфер (технологии, корпоративные сервисы). Воздействие среднесрочное, но последствия могут быть значительными для пользователей.

Материалы по теме

Переход к ИИ-агентам: отказ от GPU сэкономит 40% бюджета на энергопотребление
Обзор события
Переход к ИИ-агентам: отказ от GPU сэкономит 40% бюджета на энергопотребление
Бум ИИ-ЦОД в сельской местности: рост тарифов на 19% и риск дефицита воды
Обзор события
Бум ИИ-ЦОД в сельской местности: рост тарифов на 19% и риск дефицита воды
Суд Маска против OpenAI: как спор о миссии угрожает 852 млрд долларов
Обзор события
Суд Маска против OpenAI: как спор о миссии угрожает 852 млрд долларов
Утечка 500 000 медицинских профилей: риск деанонимизации и отзыв доступа для исследователей
Обзор события
Утечка 500 000 медицинских профилей: риск деанонимизации и отзыв доступа для исследователей
Ответственность за ошибки ИИ-агентов: 10 млрд долларов убытков лягут на бизнес
Обзор события
Ответственность за ошибки ИИ-агентов: 10 млрд долларов убытков лягут на бизнес
Смена лицензии Google на Apache 2.0: отказ от облачных подписок и снижение рисков блокировки
Обзор события
Смена лицензии Google на Apache 2.0: отказ от облачных подписок и снижение рисков блокировки
ИИ как повод для увольнений: компании перекладывают расходы на подрядчиков
Обзор события
ИИ как повод для увольнений: компании перекладывают расходы на подрядчиков
Кибератаки за минуты: ИИ и автоматизация подрывают защиту

Упоминание автоматизированных кибератак с использованием ИИ и фокуса на легитимных инструментах Microsoft (включая Azure) подтверждает системную значимость утечек в VS Code как вектора для масштабных атак. Это усиливает аргумент о том, что утечки секретов становятся частью схем, описанных в блоке, где злоумышленники эксплуатируют доверие к корпоративным платформам.

Подробнее →
Windows 11 получает обновление с защитой ИИ и сокращением уязвимостей

Данные об обновлении Windows 11 версии 25H2 с ИИ-анализом кода и удалением устаревших компонентов (например, PowerShell 2.0) служат примером технологических мер Microsoft, которые аналитический текст противопоставляет человеческому фактору. Это подчеркивает ограниченность технических решений без изменения поведения разработчиков.

Подробнее →
K2 Cloud и К2 НейроТех запустили платформу для быстрого старта с ИИ

Интеграция VS Code в платформу K2 Cloud для ИИ-проектов, сокращающая время запуска до 20 минут, демонстрирует рост зависимости от редактора в сфере машинного обучения. Это усиливает тезис о новых рисках, связанных с утечкой данных моделирования и зависимостью от сторонних расширений, которые остаются скрытыми угрозами.

Подробнее →
Сайт использует cookie-файлы и возможности Яндекс.Метрики. Продолжая пользоваться сайтом, вы подтверждаете свое согласие на использование файлов cookie и принимаете пользовательское соглашение.