Novo mecanismo de proteção
A Microsoft implementou um atraso obrigatório de duas horas nas atualizações automáticas de extensões do Visual Studio Code, a partir da versão 1.123, com o objetivo de reduzir o risco de ataques à cadeia de suprimentos de software. A medida cria uma janela de observação entre a publicação de uma nova versão e sua instalação em massa em milhões de estações de trabalho de desenvolvedores.
A mudança responde a um ano marcado por incidentes graves na cadeia de suprimentos. Em maio de 2026, uma versão maliciosa da extensão Nx Console foi distribuída pelo marketplace oficial do VS Code e atingiu repositórios internos do GitHub por meio do mecanismo de auto-update — sem qualquer ação manual dos desenvolvedores. A CISA emitiu alerta classificando o caso como comprometimento ativo da cadeia de suprimentos.
Como funciona o novo mecanismo
Com o recurso ativado, extensões publicadas no marketplace não são instaladas imediatamente. O VS Code aguarda duas horas antes de aplicar a atualização, período em que mantenedores de registries e ferramentas de análise podem identificar versões comprometidas e removê-las antes que se propaguem. O usuário continua com a opção de forçar a atualização manual pelo botão “Update” a qualquer momento. Extensões de editores confiáveis — Microsoft, GitHub e OpenAI — ficam isentas do atraso.
Ecossistema em movimento
O VS Code não está sozinho. Nos últimos meses, outros gerenciadores de pacotes adicionaram controles semelhantes de idade mínima para versões recém-publicadas:
| Ferramenta | Versão | Parâmetro |
|---|---|---|
| Bun | 1.3+ | minimumReleaseAge |
| npm | v11.10.0+ | min-release-age |
| pnpm | 10.16+ | minimumReleaseAge |
| Yarn Berry | 4.10+ | npmMinimalAgeGate |
| VS Code | 1.123 | Delay de 2 horas |
| Bundler | 4.0.13 | Cooldown opt-in |
Riscos que motivaram a mudança
O conceito é simples: quanto menor a janela entre publicação e disseminação, maior a chance de que um pacote malicioso infecte sistemas antes de ser detectado. Em maio, a extensão Nx Console na versão 18.95.0 executava código que extraía tokens de autenticação do GitHub, comprometendo repositórios internos sem interação do usuário. Outros incidentes recentes incluíram o worm IronWorm em pacotes npm e o ataque supply chain que atingiu repositórios do GitHub por meio da extensão Nx Console.
O que desenvolvedores devem fazer
Atualizar o VS Code para a versão 1.123 ou superior para garantir que o delay esteja ativo. Revisar as extensões instaladas e remover as que não são mais necessárias. Monitorar os logs de atualização da IDE — extensões com updates pendentes agora exibem o motivo do atraso e o horário previsto de instalação. Para equipes, considerar configuração corporativa que bloqueie extensões de editores não confiáveis e exija revisão manual para publicações no marketplace.