Платформа Visual Studio Code Marketplace видалила понад 20 розширень, які маскувалися під корисні інструменти для форматування коду та роботи з JSON, але насправді містили шкідливий код. Ці розширення, завантажені сумарно понад 50 000 разів, були націлені виключно на розробників програмного забезпечення. Основною метою атаки був пошук та ексфільтрація (викрадення) AWS ключів, токенів Azure та Google Cloud, які розробники часто необережно зберігають у змінних середовища або відкритих файлах проєкту.

Цей інцидент підкреслює зростаючий ризик атак на середовища розробки (DevEcosystem). Зловмисники розуміють, що комп’ютер розробника — це “золотий ключ” до всієї інфраструктури компанії. Шкідливі розширення працювали тихо, активуючись лише при відкритті певних типів файлів, що ускладнювало їх виявлення традиційними антивірусами. Розробникам рекомендується провести ревізію встановлених плагінів, використовувати лише перевірені інструменти від відомих видавців та впровадити системи сканування секретів (Secret Scanning), щоб запобігти витоку ключів доступу.