IDE уверяют: «Опасности нет». А вирус уже сидит внутри — и ждет вашего клика

Исследование, проведённое специалистами компании OX Security, показало, насколько просто вредоносным расширениям обходить систему проверки доверия и выполнять произвольный код на компьютерах разработчиков. Эксперты проанализировали безопасность популярных интегрированных сред разработки (IDE), включая Visual Studio Code, Visual Studio, IntelliJ IDEA и Cursor, и выявили критические уязвимости в процессе проверки расширений.

Современные IDE давно стали незаменимыми инструментами для программистов. Помимо стандартного функционала, они позволяют расширять возможности за счёт сторонних дополнений, которые можно установить как из официальных магазинов, так и из внешних источников. Однако именно этот подход, как выяснили специалисты, создаёт благоприятные условия для злоумышленников.

В рамках исследования были созданы специальные расширения для трёх популярных IDE — Visual Studio Code, Visual Studio и IntelliJ IDEA. Все они выглядели как полностью проверенные, с оригинальной упаковкой, числом загрузок, рейтингом пользователей и синим значком «проверено». Однако внутри содержался вредоносный код, способный выполнять команды операционной системы, включая запуск калькулятора в качестве демонстрации.

На примере Visual Studio Code, одного из самых популярных редакторов кода от Microsoft, исследователи показали, что проверки доверия расширений реализованы с серьёзными изъянами. Выяснилось, что иконка проверки издателя формируется на основе запросов к официальному серверу marketplace.visualstudio.com. Используя анализ сетевого трафика, специалисты смогли выявить, какие именно параметры влияют на отображение статуса проверки.

В результате удалось модифицировать параметры внутри расширения, сохранив его «официальный» вид. Злоумышленники могут собрать такой файл расширения формата VSIX и распространять его, например, через GitHub. После установки расширение выглядит полностью доверенным, хотя может содержать произвольный вредоносный код.

После успеха с Visual Studio Code специалисты провели аналогичные тесты для других платформ: Visual Studio, IntelliJ IDEA и Cursor. Несмотря на различия в архитектуре и методах проверки, суть атаки оставалась той же — возможность подмены ключевых параметров расширения, что позволяло сохранить статус «проверенного» дополнения при наличии вредоносной функциональности.

Главная угроза заключается в том, что подобные расширения можно распространять за пределами официальных маркетплейсов — через файлы VSIX или ZIP. Пользователь может установить их вручную, не подозревая о реальном содержимом. Особенно рискуют те, кто загружает дополнения с малоизвестных ресурсов или доверяет файлам, найденным в интернете.

В ходе тестирования выяснилось, что текущие механизмы защиты популярных IDE не обеспечивают надёжную проверку на этапе установки расширений. Специалисты OX Security подчёркивают, что нельзя полагаться только на значок проверки или репутацию расширения. Даже при наличии «синего значка» дополнение может быть вредоносным.

В качестве мер предосторожности команде разработчиков советуют устанавливать расширения только из официальных источников и избегать файлов, распространяемых через сторонние ресурсы. Производителям IDE специалисты рекомендуют внедрить многоступенчатую проверку подписей, валидировать источник установки, проверять хеш-суммы всех файлов внутри расширения и использовать корректное закрепление сертификатов для безопасного соединения.

Самих разработчиков расширений также призывают к более тщательной проверке целостности подписей и внедрению механизмов защиты от вмешательства.

Microsoft, которой принадлежат Visual Studio и Visual Studio Code, заявила, что текущая архитектура системы проверок работает «как задумано», и уязвимость не считается серьёзной. По данным компании, публикация подобного расширения в официальном магазине невозможна, а механизм проверки подписей теперь включён по умолчанию. Тем не менее, атаки через «сайдлоадинг» (установку из внешних источников) остаются реальной угрозой.

JetBrains, разработчик IntelliJ IDEA, подтвердил, что при ручной установке плагинов из ZIP-файлов IDE предупреждает пользователя о рисках и ответственности за установку кода из ненадёжного источника.

Компания Cursor заявила, что не внедряет проверку подписей расширений и напомнила, что даже Visual Studio Code проверяет подписи только на этапе установки, а не постоянно.

Проблема остаётся актуальной: даже после публикации отчёта специалисты OX Security 29 июня 2025 года подтвердили, что обнаруженные уязвимости по-прежнему можно эксплуатировать.