目前微軟已經從 Visual Studio Marketplace 中刪除非常流行的主題擴充套件 Material Theme Free 和 Material Theme Icons,微軟稱這些主題擴充套件包含惡意程式碼。
統計顯示這些擴充套件程式的安裝總次數近 900 萬次,在微軟實施刪除後現在已安裝這些擴充套件的開發者也會收到自動停用警報,提醒開發者不要再啟用。
釋出這些擴充套件程式的是知名開發者 Mattia Astorino,其在 Visual Studio Marketplace 釋出多款擴充套件程式,總安裝量超過 1,300 萬次。
發現擴充套件程式包含惡意程式碼的則是網路安全研究人員,這些研究人員釋出報告指出多個擴充套件程式包含惡意程式碼,隨後微軟從市場刪除了擴充套件並封禁開發者賬號。
值得注意的是微軟安全研究人員也同樣對這些擴充套件進行了分析,分析佐證了最初發現問題的安全研究人員的報告,微軟確實發現了可疑程式碼。
研究人員認為這些惡意程式碼要麼是在擴充套件程式更新中新增的,要麼就是擴充套件程式依賴項遭到感染也就是供應鏈攻擊,當然還可能是開發者賬號遭到入侵。
然而開發者 Mattia Astorino 對這些說法並不認同,開發者稱這可能是過時的 Sanity.io 依賴項引起的,他本人從未在擴充套件程式中新增任何惡意程式碼。
開發者也抱怨微軟的處理方式,刪除這個依賴項只需要 30 秒,但微軟在執行操作前沒有與開發者進行任何溝通,而停用 Material Theme 後還導致 Visual Studio Code 出現了迴圈啟動,這個問題應完全由微軟負責。
不過目前具體情況還有待說明,基於安全考慮建議使用者暫時刪除這些可能包含惡意程式碼的擴充套件程式,後續如果微軟確認屬於誤報那使用者再重新安裝。
equinusocio.moxer-theme
equinusocio.vsc-material-theme
equinusocio.vsc-material-theme-icons
equinusocio.vsc-community-material-theme
equinusocio.moxer-icons
活動推薦:
騰訊雲輕量應用伺服器2核心2GB記憶體3M頻寬40GB硬碟伺服器僅68元/年(此款限新使用者),掃碼搶購:
