Microsoft đã khôi phục hai tiện ích mở rộng “Material Theme – Free” và “Material Theme Icons – Free” trên chợ tiện ích Visual Studio Code sau khi kết luận rằng đoạn mã bị nghi ngờ trong đó không thực sự có hành vi độc hại. Trước đó, vào cuối tháng 2, hai tiện ích này – với tổng số lượt cài đặt hơn 9 triệu – đã bị gỡ bỏ khỏi nền tảng, và tài khoản của nhà phát triển Mattia Astorino (biệt danh “equinusocio”) cũng bị khóa.
Việc gỡ bỏ được thực hiện sau khi một thành viên trong cộng đồng phát hiện một số dấu hiệu bất thường trong tệp release-notes.js và gửi báo cáo cho Microsoft. Đội ngũ bảo mật của công ty xác nhận các dấu hiệu nghi vấn và phát hiện thêm một số điểm đáng ngờ khác. Tệp mã JavaScript liên quan được cho là có khả năng thực thi mã và đã được obfuscate (làm rối mã), khiến nó trông giống như một đoạn mã có chủ đích ẩn giấu hành vi độc hại.
Tuy nhiên, sau khi điều tra sâu hơn, Microsoft xác định rằng đoạn mã này không thực hiện hành vi nguy hiểm nào. Do đó, họ đã hoàn nguyên quyết định, đưa cả hai tiện ích trở lại Marketplace và khôi phục quyền truy cập cho nhà phát triển.
Ngay sau khi hai tiện ích mở rộng bị gỡ khỏi Visual Studio Code Marketplace, nhà phát triển Mattia Astorino đã lên tiếng phản đối cáo buộc và cho rằng việc loại bỏ này xuất phát từ một hiểu lầm liên quan đến thư viện sanity.io cũ được dùng từ năm 2016 để hiển thị ghi chú phát hành từ nền tảng headless CMS của Sanity.
Astorino cho biết nếu Microsoft chỉ đơn giản liên hệ, anh hoàn toàn có thể gỡ bỏ thư viện lỗi thời đó trong vòng vài giây. Tuy nhiên, thay vì nhận được thông báo hay cảnh báo trước, anh lại bị khóa tài khoản và xóa toàn bộ tiện ích một cách đột ngột.
“Không có gì độc hại cả. Tôi thậm chí đã không cập nhật các tiện ích trong nhiều năm vì đang tập trung vào phiên bản mới, trừ quá trình obfuscation,” Astorino chia sẻ qua email với BleepingComputer.
Về tiện ích Material Theme Icons, anh nói vấn đề chỉ nằm ở một tập lệnh build vô tình bị đưa vào file index.js phân phối. Tập lệnh này từng dùng để tạo các tệp JSON bằng cách truy xuất các biểu tượng SVG từ một kho mã nguồn đóng — thứ mà anh đã gỡ bỏ từ lâu.
Còn với tiện ích Material Theme, quá trình obfuscation đã vô tình đưa vào SDK client của sanity.io, trong đó chứa một số chuỗi liên quan đến tài khoản xác thực như username hoặc password. Astorino khẳng định đây chỉ là hậu quả của một quá trình build lỗi cách đây nhiều năm, chứ không phải hành vi nguy hiểm hay cố ý nào.
Sau cuộc điều tra lại, Microsoft đã khôi phục các tiện ích lên lại Marketplace. Scott Hanselman, đại diện của Microsoft, đã công khai xin lỗi Astorino trong một bài đăng trên GitHub, tại mục thảo luận mà chính Astorino mở để yêu cầu khôi phục tài khoản và các tiện ích của mình.
“Tài khoản phát hành của Material Theme và Material Theme Icons (Equinusocio) đã bị gắn cờ nhầm và hiện đã được khôi phục,” Hanselman viết. “Vì lo ngại về an toàn, chúng tôi đã hành động nhanh nhưng đã sai. Các tiện ích này bị xóa vì kích hoạt nhiều cảnh báo về phần mềm độc hại trong hệ thống của Microsoft, nhưng kết luận điều tra sau đó lại không chính xác.”
Hanselman của Microsoft tiếp tục chia sẻ rằng: “Chúng tôi xin lỗi vì tác giả đã bị ảnh hưởng ngoài ý muốn và rất mong chờ những chủ đề và tiện ích mới của anh ấy trong tương lai. Chúng tôi đã liên hệ trực tiếp và cảm ơn vì sự kiên nhẫn của anh.”
Bên cạnh việc khôi phục tài khoản và tiện ích mở rộng, Hanselman cũng cho biết Visual Studio Code Marketplace sẽ cập nhật chính sách liên quan đến mã bị làm rối (obfuscated code) và nâng cấp hệ thống quét tự động. Mục tiêu là tránh những phản ứng vội vàng với các dự án hợp lệ như đã xảy ra lần này.
Tuy nhiên, nhà nghiên cứu bảo mật Amit Assaraf — người đầu tiên cảnh báo về tiện ích này — vẫn giữ quan điểm rằng mã nguồn bên trong thực sự chứa hành vi độc hại, dù thừa nhận không có ý định xấu từ phía nhà phát hành. Anh bình luận thêm: “Lần này, Microsoft hành động quá nhanh.”
Về phía mình, Astorino khẳng định rằng các tiện ích Material Theme trên Marketplace đã được viết lại hoàn toàn, sạch sẽ và an toàn để sử dụng.
