微软已从 Visual Studio 市场中移除了两个热门的 VSCode 扩展程序“Material Theme - Free”和“Material Theme Icons - Free”,原因是发现它们包含恶意代码。
这两个扩展程序非常受欢迎,总共被下载了近 900 万次,现在 VSCode 用户会收到安全提醒,提示这两个扩展程序已被自动禁用。
在近期发布的一份报告中,研究人员称他们在这些扩展程序中发现了可疑代码,并将他们的发现报告给了微软。
微软员工在 YCombinator 的 Hacker News 上发帖称:“微软已将这两个扩展从 VS Code 市场移除,并封禁了开发者。”
社区中的一名成员对该扩展程序进行了深入的安全分析,发现了多个表明存在恶意意图的危险信号,微软的安全研究人员确认了这些说法,并发现了更多可疑代码。
VSCode自动删除材料主题扩展
研究人员表示,他们认为恶意代码是在扩展的更新中引入的,这表明要么是通过依赖项进行的供应链攻击,要么是开发者的账户遭到了破坏。
扫描仪对材料主题的风险评估
此外,他们解释说,主题应该是静态JSON文件,不执行任何代码,所以这种行为在他们的评估中被标记为可疑。此说法也得到了证实,主题中的“release-notes.js”文件包含严重混淆的JavaScript,这在开源软件中是一个危险信号。
在release-notes.js文件中严重混淆了JavaScript
代码的部分解混淆显示了大量对用户名和密码的引用。微软表示,他们将很快在VSMarketplace GitHub存储库中发布有关该扩展和任何检测到的恶意活动的更多细节。
扩展的开发人员回应了关于扩展是恶意的担忧,指出这些问题是由过时的Sanity引起的。IO依赖项“看起来受到了损害”。
在情况清除并确定扩展是否恶意之前,建议从所有项目中删除以下扩展:
