Waspada! Celah Keamanan Kritis Ditemukan pada 4 Ekstensi Populer VS Code

By Aldi Nugraha in Berita Keamanan Siber

Berita Keamanan Siber
Para peneliti keamanan siber baru saja mengungkapkan adanya kerentanan keamanan yang signifikan pada empat ekstensi populer Microsoft Visual Studio Code (VS Code). Jika berhasil dieksploitasi, celah ini memungkinkan peretas untuk mencuri file lokal hingga menjalankan kode berbahaya dari jarak jauh (Remote Code Execution). Keempat ekstensi ini telah diinstal secara kolektif lebih dari 125 juta kali, menjadikannya ancaman serius bagi komunitas pengembang perangkat lunak di seluruh dunia.

Ekstensi yang Terdampak
Berdasarkan laporan dari OX Security, berikut adalah daftar ekstensi yang teridentifikasi memiliki celah keamanan:
  1. CVE-2025-65717 (Skor CVSS: 9.1) – Sebuah kerentanan pada Live Server yang memungkinkan penyerang mengeksfiltrasi (mencuri) file lokal. Caranya dengan menjebak pengembang untuk mengunjungi situs web berbahaya saat ekstensi sedang berjalan, sehingga JavaScript yang tertanam di halaman tersebut dapat memindai dan mengambil file dari server HTTP pengembangan lokal (yang berjalan di localhost:5500), lalu mengirimkannya ke domain di bawah kendali penyerang. (Belum diperbaiki/Unpatched)

  2. CVE-2025-65716 (Skor CVSS: 8.8) – Sebuah kerentanan pada Markdown Preview Enhanced yang memungkinkan penyerang menjalankan kode JavaScript arbitrer dengan cara mengunggah file Markdown (.md) yang telah dimodifikasi. Hal ini memungkinkan pemindaian (enumeration) port lokal dan pencurian data ke domain milik penyerang. (Belum diperbaiki/Unpatched)

  3. CVE-2025-65715 (Skor CVSS: 7.8) – Sebuah kerentanan pada Code Runner yang memungkinkan penyerang menjalankan kode arbitrer dengan cara membujuk pengguna untuk mengubah file settings.json melalui teknik phishing atau rekayasa sosial (social engineering). (Belum diperbaiki/Unpatched)

  4. Kerentanan pada Microsoft Live Preview – Memungkinkan penyerang mengakses file sensitif di mesin pengembang dengan menjebak korban agar mengunjungi situs web berbahaya saat ekstensi sedang aktif. Hal ini memicu permintaan JavaScript khusus yang menargetkan localhost untuk memindai dan mencuri file sensitif. (Tanpa nomor CVE, telah diperbaiki secara diam-diam oleh Microsoft pada versi 0.4.16 yang dirilis September 2025)

Peneliti menjelaskan bahwa peretas tidak perlu menyusup ke marketplace dengan ekstensi palsu. Sebaliknya, mereka memanfaatkan kerentanan pada ekstensi yang sah dan tepercaya.
Sebagai contoh, pada kasus Live Server, server HTTP lokal yang dijalankan oleh ekstensi tersebut ternyata dapat diakses oleh halaman web mana pun yang dikunjungi pengembang saat ekstensi aktif. Dengan teknik phishing atau situs web yang telah disisipi JavaScript khusus, penyerang dapat melakukan "gerakan lateral" untuk mengompromikan seluruh jaringan organisasi melalui satu mesin pengembang.

"Penelitian kami menunjukkan bahwa peretas hanya butuh satu ekstensi yang rentan untuk masuk dan menguasai seluruh lingkungan pengembangan," ujar perwakilan dari OX Security.
Back to Posts