Антироссийский призыв в консоли разработчика вместе с обновлением Microsoft Visual Studio Code

«Доктор Веб» сообщает, что при установке новой версии популярного редактора кода Microsoft Visual Studio Code (MS VS Code) Dr.Web детектирует вредоносный JS файл внутри. Данный вредоносный код был добавлен в javascript-библиотеку "es5-ext" еще в 2022 году и до сих пор в ней содержится.

Что делает вредоносный JS-файл

Вредоносный файл демонстрирует в консоли разработчика призыв с антироссийской позицией касательно СВО:

Данный вредоносный скрипт запускается при соответствии условия часового пояса российских городов. Их полный список можно увидеть на скриншоте: среди них Анадырь, Барнаул, Калининград, Самара и многие другие.

Чем опасен данный код и почему мы его детектируем

Разработчик пакета es5-ext добавил в код вывод всплывающего сообщения в консоль при определенных условиях. Специалисты «Доктор Веб» классифицируют данное поведение как злонамеренную вставку вредоносного кода, не имеющего никакого отношения к функционалу библиотеки, направленную против части пользователей на основе региональной принадлежности, что является достаточным основанием для детектирования.

На данный момент код выполняет только агитационную функцию, но разработчик в любой момент может заменить данный код и наделить его другими функциями: например, с помощью него он сможет удалить все ваши данные с компьютера. Такие случаи в нашей практике уже фиксировались.

Несмотря на то, что о наличии данного кода в библиотеке профессиональному сообществу известно давно, компания Microsoft инкорпорировала этот пакет в свое программное обеспечение в качестве зависимости.

Последствия для пользователей

В результате этого решения все пользователи, обновляющие MS VS Code автоматически, получают вместе с обновлением и «малварный» пакет. Срабатывание антивируса происходит именно в момент загрузки или распаковки обновления, содержащего скомпрометированную библиотеку.

Игорь Здобнов, руководитель антивирусной лаборатории «Доктор Веб»:

Мотивы, по которым Microsoft включила в зависимость заведомо сомнительный пакет, нам неведомы. Мы рекомендуем пользователям обратить внимание на срабатывания антивируса и, при необходимости, временно приостановить автоматическое обновление до выяснения обстоятельств со стороны разработчика.

«Доктор Веб» настоятельно рекомендует пользователям проверять все загружаемые обновления и обращать внимание на предупреждения антивирусного программного обеспечения. Последняя версия MS VS Code, где нет указанной проблемы — 1.115.