↓推薦關注↓
近日,微軟從 VS Marketplace 移除了兩款累計下載量達 900 萬的熱門 VSCode 擴充套件:Material Theme Free 和 Material Theme Icons。
安全專家調查發現,這些看似無害的"主題"竟暗藏高度混淆的惡意程式碼,可能引發大規模開發者賬戶洩露危機。
供應鏈攻擊疑雲
網路安全研究員 Amit Assaraf 團隊在例行掃描中發現異常:本應僅含靜態 JSON 檔案的主題擴充套件,其
release-notes.js檔案竟存在大量加密 JavaScript 程式碼。經過部分反混淆後,程式碼中暴露出對使用者名稱、密碼等敏感資訊的呼叫指令,但具體攻擊路徑尚未明確。
專家推測,這可能是透過 2023 年某次更新植入的供應鏈攻擊,或開發者賬號遭駭客劫持所致。
微軟證實,涉事擴充套件的開發者 Mattia Astorino(ID: equinusocio)名下 13 款外掛總安裝量超 1300 萬,此次不僅下架所有相關產品,更直接封禁其開發者賬號,並強制解除安裝全球使用者端的現存外掛。
這是 VS Marketplace 近三年來最大規模的安全清理行動。
開發者喊冤 vs 微軟強硬
面對指控,Astorino 在 GitHub 上喊冤,他從未新增過任何有害程式碼,稱問題源於 2016 年遺留的 Sanity.io 舊版依賴,該元件僅用於顯示更新日誌,強調"30 分鐘即可修復漏洞"。
為自證清白,Astorino 隨即釋出無依賴項的"Fanny Themes",但 48 小時內再遭下架。
他指責微軟未提前溝通就全面封殺,並且停用主題後還導致 VSCode 出現了迴圈啟動,這個問題應完全由微軟負責。
安全專家指出,主題類擴充套件本不該具備程式碼執行能力,此次事件暴露開源生態的致命弱點:
-
開發者過度依賴第三方元件
-
外掛市場稽核機制存在盲區
-
使用者對"美化工具"的安全意識薄弱
微軟承諾將在 GitHub 公開完整技術分析報告。目前建議開發者立即檢查並解除安裝以下高危擴充套件:
-
equinusocio.moxer-theme
-
equinusocio.vsc-material-theme
-
equinusocio.vsc-material-theme-icons
-
equinusocio.vsc-community-material-theme
-
equinusocio.moxer-icons
最後
Material Theme Free 和 Material Theme Icons,有用過這兩個主題的盆友麼?
大家覺得誰的鍋更大一些?
