Come dimostra il racconto che abbiamo fatto poco tempo fa in merito alle preferenze degli sviluppatori in fatto di sistemi operativi, ed a come nello specifico Windows con WSL (Windows Subsystem for Linux) sia una delle soluzioni ad andare per la maggiore, si può trarre una conclusione: i tempi sono cambiati, ed è facile immaginare come allo stesso sviluppatore capiti nella stessa giornata di lavorare tanto su Linux quanto su Windows, magari usando lo stesso strumento, su entrambi i sistemi operativi.

La crescita che abbiamo descritto è certamente favorita dalla disponibilità di strumenti quali ad esempio Visual Studio Code, l’IDE di sviluppo più usato.

Ma come si sa altrettanto bene, una diffusione massiva di uno strumento tanto utile (e sfido chiunque a dire il contrario) non può che finire per ingolosire i consueti malintenzionati. Nel caso poi di Visual Studio Code, la sua modularità ed il suo essere basato su estensioni che l’utente può installare all’occorrenza, portano certamente i rischi legati al suo utilizzo ad un livello che è bene tenere sotto controllo.

Ne è dimostrazione questo studio effettuato da Aqua, dal titolo decisamente eloquente: Can You Trust Your VSCode Extensions?

E per valorizzare questa tesi ecco alcuni punti cardine:

1. Chiunque può registrarsi come produttore di estensioni anche utilizzando un indirizzo mail usa e getta.
2. Il nome dell’estensione e il nome dell’editore per un’estensione non è necessario siano univoci, quindi copiare il nome di uno esistente. Nell’esempio della ricerca è stata pubblicata un’estensione chiamata Pretier che veniva visualizzata come Prettier (con due “t”), lo stesso nome di un popolare componente aggiuntivo per la formattazione del codice.
3. Il segno di spunta blu per un editore dimostra solo la proprietà di un dominio, quindi un editore potrebbe acquistare un qualsiasi dominio e registrarlo per ottenere questa “certifica”.
4. Il numero di download e recensioni di ciascuna estensione è utile, ma queste cose possono essere programmate e falsificate per ottenere cifre dall’aspetto rispettabile.

Insomma, quando in coda alla ricerca, dopo aver dimostrato il case study di Prettier descritto sopra, viene indicato di NON LASCIARSI INGANNARE DAL TERMINE “Verified” è bene ascoltare i ricercatori di Aqua.

Il team Aqua non è riuscito a dimostrare che un’estensione dannosa potrebbe superare i programmi antivirus di Microsoft, ma è riuscito invece ad ottenere una versione falsa di Prettier installata più di 1.000 volte in 48 ore.

Mille installazioni per un comune errore ortografico e se considerate che queste estensioni hanno il potere dell’utente che le esegue, e che la maggioranza degli utenti sono generalmente amministratori dei propri sistemi… Insomma… C’è veramente poco da aggiungere se non… Occhio!

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.