2 月 27 日消息,科技媒体 bleepingcomputer 昨日(2 月 26 日)发布博文,报道称微软发现“Material Theme - Free”和“Material Theme Icons - Free”涉嫌包含恶意代码,现已从 Visual Studio Marketplace 下架这两款热门 VS Code 扩展程序。
注:这两款扩展程序非常受欢迎,累计下载量近 900 万次。用户现在使用这两款扩展程序,在 VS Code 中会收到自动禁用提示。
安全问题洞察
网络安全研究员 Amit Assaraf 和 Itay Kruk 发现了这些扩展程序中的可疑代码,并向微软报告了他们的发现。
研究人员表示,主题文件应该是静态的 JSON 文件,不应该执行任何代码,而这两款扩展主题中的“release-notes.js”文件包含高度混淆的 Java 代码,这在开源软件中通常是一个危险信号。
微软的安全研究人员证实了这一说法,并发现了其他可疑代码,随后从 VS Code 市场下架这两款扩展程序,并封禁了开发者账号。
微软正在进一步调查这两款扩展程序的恶意活动,并表示会尽快在 VSMarketplace GitHub 存储库中发布更多详细信息。
在情况明朗之前,建议用户从所有项目中移除 equinusocio.moxer-theme、equinusocio.vsc-material-theme、equinusocio.vsc-material-theme-icons、equinusocio.vsc-community-material-theme和 equinusocio.moxer-icons这几个扩展程序。
开发者回应
扩展程序的开发者是 Mattia Astorino(又名 equinusocio),他在 VS Code 市场上发布了多个扩展程序,总安装量超过 1300 万次。
Astorino 回应称,问题是由过时的 Sanity.io依赖项引起的,“看起来像是被入侵了”。
他表示,Material Theme 中从未发布过任何有害内容,事后复盘称只是使用了自 2016 年以来就存在的问题,使用过时的 sanity.io依赖项,来显示来自 Sanity headless CMS 的发布说明。他认为微软在没有联系他的情况下就下架了所有扩展程序,给数百万用户造成了问题。
