微软下架两款热门 VS Code 扩展，900 万用户受影响

2 月 27 日消息，科技媒体 bleepingcomputer 昨日（2 月 26 日）发布博文，报道称微软发现“Material Theme - Free”和“Material Theme Icons - Free”涉嫌包含恶意代码，现已从 Visual Studio Marketplace 下架这两款热门 VS Code 扩展程序。

注：这两款扩展程序非常受欢迎，累计下载量近 900 万次。用户现在使用这两款扩展程序，在 VS Code 中会收到自动禁用提示。

安全问题洞察

网络安全研究员 Amit Assaraf 和 Itay Kruk 发现了这些扩展程序中的可疑代码，并向微软报告了他们的发现。

研究人员表示，主题文件应该是静态的 JSON 文件，不应该执行任何代码，而这两款扩展主题中的“release-notes.js”文件包含高度混淆的 JavaScript 代码，这在开源软件中通常是一个危险信号。

微软的安全研究人员证实了这一说法，并发现了其他可疑代码，随后从 VS Code 市场下架这两款扩展程序，并封禁了开发者账号。

微软正在进一步调查这两款扩展程序的恶意活动，并表示会尽快在 VSMarketplace GitHub 存储库中发布更多详细信息。

在情况明朗之前，建议用户从所有项目中移除 equinusocio.moxer-theme、equinusocio.vsc-material-theme、equinusocio.vsc-material-theme-icons、equinusocio.vsc-community-material-theme 和 equinusocio.moxer-icons 这几个扩展程序。

开发者回应

扩展程序的开发者是 Mattia Astorino（又名 equinusocio），他在 VS Code 市场上发布了多个扩展程序，总安装量超过 1300 万次。

Astorino 回应称，问题是由过时的 Sanity.io 依赖项引起的，“看起来像是被入侵了”。

他表示，Material Theme 中从未发布过任何有害内容，事后复盘称只是使用了自 2016 年以来就存在的问题，使用过时的 sanity.io 依赖项，来显示来自 Sanity headless CMS 的发布说明。他认为微软在没有联系他的情况下就下架了所有扩展程序，给数百万用户造成了问题。