Indice
Utilizzate estensioni per migliorare la vostra esperienza di sviluppo su Visual Studio Code, ma siete davvero consapevoli di ciò che accade in background? Immaginate che il vostro codice venga inviato a server remoti senza che voi lo sappiate. Intrigato? Scoprite come le estensioni ChatGPT – 中文版 e ChatMoss potrebbero compromettere il vostro lavoro.
Le 3 informazioni da non perdere
Le estensioni ChatGPT – 中文版 e ChatMoss, disponibili sul Visual Studio Code Marketplace, sono note per fornire suggerimenti e completamenti di codice. Tuttavia, Koi Security ha rivelato che questi strumenti inviano discretamente il contenuto dei file aperti a server situati in Cina. L’utente, senza saperlo, vede i suoi dati esfiltrati in background.
I ricercatori hanno scoperto che non appena un file viene aperto con queste estensioni attive, il suo contenuto viene codificato in Base64 e trasmesso. Questo processo, realizzato senza allerta né richiesta di consenso, mette a rischio la riservatezza dei dati degli utenti.
ChatGPT – 中文版 e ChatMoss non si limitano a funzionare come semplici strumenti di editing del codice. Le estensioni sono in grado di trasmettere comandi che innescano l’invio di più file di uno stesso progetto. I dati inviati comprendono non solo il contenuto dei file ma anche la loro posizione, permettendo di ricostruire l’intera struttura di un progetto Visual Studio Code.
Secondo BleepingComputer, l’integrazione di SDK di analisi in queste estensioni permette di raccogliere informazioni sull’attività degli utenti, come i file consultati o modificati. Il processo di esfiltrazione continua finché le estensioni rimangono attive, rendendo difficile la loro rilevazione senza un’ispezione tecnica approfondita.
Microsoft ha confermato di essere a conoscenza delle scoperte di Koi Security e sta attualmente conducendo un’indagine. Nonostante ciò, le estensioni incriminate rimangono disponibili sul Visual Studio Code Marketplace, il che solleva domande sui meccanismi di verifica delle estensioni da parte della piattaforma.
Per gli sviluppatori, questa situazione mette in luce l’importanza di verificare la sicurezza degli strumenti utilizzati nel loro ambiente di lavoro. È imperativo essere vigili di fronte alle estensioni scaricate e tenersi informati sulle pratiche di sicurezza delle piattaforme.
Visual Studio Code, lanciato da Microsoft nel 2015, è rapidamente diventato uno degli editor di codice più popolari grazie alla sua flessibilità e alla sua vasta gamma di estensioni. Il suo marketplace offre migliaia di estensioni che arricchiscono l’esperienza degli sviluppatori, dai tool di produttività alle integrazioni specifiche di linguaggi.
Con l’ascesa dell’intelligenza artificiale, le estensioni basate sull’IA, come ChatGPT – 中文版 e ChatMoss, hanno guadagnato popolarità offrendo funzionalità avanzate di completamento del codice. Tuttavia, questo caso sottolinea la necessità per gli sviluppatori di essere attenti alle implicazioni in materia di sicurezza degli strumenti che scelgono di integrare nei loro flussi di lavoro.
Fonte :