
El paso en falso de Microsoft Defender: una mirada al interior de la debacle de la extensión VSCode
Esta mañana, informamos sobre un incidente importante relacionado con Microsoft Defender, que identificó incorrectamente el controlador Winring0 como malicioso en ciertas aplicaciones de monitorización y control de ventiladores de PC. Inicialmente, parecía un simple caso de identidad errónea; sin embargo, la situación ha revelado complejidades más profundas.
Clasificación errónea de las extensiones de Visual Studio Code
Cabe destacar que este problema no se limita al controlador Winring0. Un par de extensiones para Visual Studio Code (VSCode) se retiraron recientemente de la tienda de Visual Studio tras ser señaladas como potencialmente dañinas.
La raíz del problema: la ofuscación del código
El núcleo de esta confusión residía en el código ofuscado presente en dos temas específicos: «Material Theme – Free» e «Material Theme Icons – Free».La ofuscación es una táctica común utilizada por los ciberdelincuentes para ocultar intenciones maliciosas, lo que llevó a Microsoft a actuar con cautela. En consecuencia, el equipo de vigilancia marcó inmediatamente el código del editor para su revisión.
Respuesta y resolución de Microsoft
Tras una investigación más exhaustiva, se evidenció que la ofuscación no indicaba comportamiento malicioso. Scott Hanselman, vicepresidente de la Comunidad de Desarrolladores de Microsoft, reconoció públicamente el descuido y ofreció disculpas por la confusión. Confirmó que ambas extensiones señaladas se han restablecido en la tienda. En sus propias palabras, declaró:
Los falsos positivos son una mierda y duele cuando suceden.
La cuenta del editor de Material Theme y Material Theme Icons (Equinusocio) fue marcada por error y ya se ha restaurado. Por seguridad, actuamos con rapidez y cometimos un error. Eliminamos estos temas porque activaron múltiples indicadores de detección de malware dentro de Microsoft, y nuestra investigación llegó a una conclusión errónea. Nos preocupamos profundamente por la seguridad del ecosistema de VS Code y actuamos con rapidez para proteger a nuestros usuarios.
Entiendo la frustración y la intensa reacción del autor de las extensiones «Equinusocio», y los entendemos. Es malo, pero a veces pasan cosas así. Hacemos todo lo posible; somos humanos, y esperamos superar esto. Aclararemos nuestra política sobre código ofuscado y actualizaremos nuestros escáneres y procesos de investigación para reducir la probabilidad de que se repita este incidente. Estas extensiones son seguras y se han restaurado para que la comunidad de VS Code pueda disfrutarlas.
Más información
Para aquellos interesados en más detalles sobre este incidente, pueden visitar el repositorio oficial de GitHub de Visual Studio Marketplace, donde el problema está documentado aquí.
Para obtener más información sobre este tema, consulte el artículo fuente aquí.
Deja una respuesta