Entwickler von VS Code-Erweiterungen leaken zahlreiche geheime Daten

Entwickler von VS Code-Erweiterungen haben unbeabsichtigt sensible Geheimnisse preisgegeben, so Untersuchungen, die mit Microsoft zusammengearbeitet haben. Die Lecks erstreckten sich über zahlreiche Projekte und enthüllten Passwörter, API‑Schlüssel und andere vertrauliche Informationen, die in den Code‑Dateien der Erweiterungen versteckt waren.

Die Entdeckung dieser Sicherheitslücke erforderte mehrere Monate intensiver Analyse und Koordination zwischen den Forschern und Microsoft. Erst durch gezielte Code‑Reviews und automatisierte Scans konnten die betroffenen Stellen identifiziert und behoben werden.

Ein solcher Vorfall hätte potenziell zu schwerwiegenden Supply‑Chain-Angriffen geführt, bei denen Angreifer die vertrauenswürdige Herkunft von Software ausnutzen. Durch die schnelle Reaktion der Community und die Zusammenarbeit mit Microsoft konnte das Risiko jedoch erheblich reduziert werden.

Die Erkenntnisse unterstreichen die Notwendigkeit regelmäßiger Sicherheitsprüfungen bei Open‑Source-Entwicklungen und zeigen, wie wichtig es ist, sensible Daten aus dem Code zu entfernen, bevor Erweiterungen veröffentlicht werden.