Misbruik van VS Code-taken vormt risico voor ontwikkelaars

In dit artikel:

Beveiligingsonderzoekers van Jamf hebben recent meerdere repositories ontdekt waarin de tasks.json-configuratie van Visual Studio Code wordt misbruikt om bij het openen van een projectmap stilletjes kwaadaardige code uit te voeren. Het gaat niet om een bug in VS Code maar om een legitieme functie: tasks.json kan commandline-taken starten zodra een map wordt geopend, en dergelijke configuraties worden vaak in de .vscode-map meegecommit en via GitHub gedeeld.

Microsoft bouwt weliswaar beschermingen in — mappen worden standaard als “onbetrouwbaar” aangemerkt en taken draaien pas na expliciet vertrouwen, plus er verschijnt een waarschuwing — maar in de praktijk blijken die maatregelen beperkt effectief. De interface moedigt gebruikers soms aan snel door te klikken en eerder ingestelde vertrouwensregels kunnen nieuwe submappen automatisch accepteren, waardoor aanvallers een brug krijgen naar systemen.

In één onderzocht geval installeerde een tasks.json-takenreeks een backdoor met remote code execution, inventariseerde systemen en hield contact met een command-and-control-server. De payloads waren cross-platform en haalden externe JavaScript op via curl, wat detectie bemoeilijkte. Hoewel de specifieke repository is verwijderd, blijven soortgelijke supply chain-aanvallen voorkomen — vaak gecamoufleerd als sollicitatieopdrachten of oefenprojecten.

Advies: wees terughoudend met code van derden, voer projecten uit in geïsoleerde omgevingen (containers of tijdelijke VM’s) en controleer configuratiebestanden in .vscode voordat je een map opent.