Rozšíření vývojářských prostředí často běží s vysokými oprávněními vůči lokálním souborům i síti. Nově popsané chyby u rozšíření s desítkami milionů instalací ukazují, že „supply chain“ riziko se netýká jen serverů, ale i pracovních stanic vývojářů.

BleepingComputer upozorňuje na více zranitelností u populárních rozšíření pro Visual Studio Code, která mají souhrnně přes 100 milionů stažení. Dopady zahrnují možnost krádeže lokálních souborů a v některých scénářích i vzdálené spuštění kódu. Zmíněna jsou rozšíření jako Code Runner nebo Markdown Preview Enhanced, a také rizika u Microsoft Live Preview.

Z pohledu řízení bezpečnosti je zajímavé, že problém nevzniká jen „chybným kódem“ rozšíření, ale i chováním uživatelů: otevření nedůvěryhodného obsahu (HTML/Markdown), spuštěné lokální servery, nebo vložení konfiguračního snippetů do globálních nastavení mohou vytvořit cestu k útoku. Článek zmiňuje i obtížnější stránku věci: komunikace s maintainery a rychlost reakce nemusí odpovídat tomu, jak moc jsou doplňky rozšířené.