微软紧急下架VS Code热门扩展:存在恶意代码风险
大浪资讯(2月27日)—— 科技媒体bleepingcomputer昨日(2月26日)披露,微软近期发现两款广受欢迎的VS Code扩展程序“Material Theme - Free”和“Material Theme Icons - Free”涉嫌嵌入恶意代码,已迅速从Visual Studio Marketplace撤下。
扩展程序下载量超900万,现遭自动禁用
据悉,这两款扩展程序在用户中颇受欢迎,累积下载量接近900万次。目前,使用这些扩展程序的用户在VS Code中将会收到自动禁用的提示。
网络安全研究员揭露可疑代码
微软的安全研究员Amit Assaraf和Itay Kruk发现了这些扩展程序中的异常代码,并及时向微软汇报。研究人员指出,主题文件应为静态的JSON文件,不应执行任何代码。然而,这两款扩展主题中的“release-notes.js”文件却包含高度混淆的JavaScript代码,这在开源软件中通常被视为一个警示信号。
微软迅速响应,封禁开发者账号
微软的安全团队随后证实了这一发现,并从VS Code市场移除了这两款扩展程序,同时封禁了开发者账号。目前,微软正在对这两款扩展程序的恶意行为进行深入调查,并计划在VSMarketplace GitHub存储库中发布更多详细信息。
建议用户立即移除相关扩展
在进一步调查结果出炉之前,微软建议用户从所有项目中移除以下扩展程序:equinusocio.moxer-theme、equinusocio.vsc-material-theme、equinusocio.vsc-material-theme-icons、equinusocio.vsc-community-material-theme和equinusocio.moxer-icons。
开发者回应:问题或由依赖项引起
扩展程序的开发者Mattia Astorino(又名equinusocio)在VS Code市场上发布了多个扩展程序,总安装量超过1300万次。Astorino回应称,问题可能是由过时的Sanity.io依赖项引起的,并暗示可能遭遇了入侵。
他强调,Material Theme从未发布过任何有害内容,并表示问题可能是由于自2016年以来就存在的问题——即使用过时的sanity.io依赖项来显示来自Sanity headless CMS的发布说明。Astorino对微软在没有提前通知的情况下下架所有扩展程序表示不满,认为这给数百万用户带来了不便。
注意:以上内容仅为改写,不代表任何官方立场。请用户在安全的前提下谨慎使用软件和扩展程序。