微軟就刪除900萬下載量的VSCode外掛道歉

OSCHINA

↑點選藍字關注我們

在誤判並下架“Material Theme – Free”和“Material Theme Icons – Free”擴充套件後，微軟已在 Visual Studio Marketplace 上重新上架了這些擴充套件。

這兩個 VSCode 擴充套件的安裝量超過 900 萬次，由於被認為存在安全風險於 2 月底從 VSCode 市場中下架，其釋出者 Mattia Astorino（又名“equinusocio”）也被禁止使用該平臺。

一名微軟員工彼時表示：“社群的一名成員對該擴充套件進行了深入的安全分析，發現了多個表明惡意意圖的危險訊號，並將此情況報告給了我們。微軟的安全研究人員證實了這一說法，並發現了其他可疑程式碼。”

研究人員 Amit Assaraf 和 Itay Kruk 部署了 AI 掃描器，尋找 VSCode 上的可疑提交內容，並首先將其標記為潛在惡意軟體。

研究人員向 BleepingComputer 表示，他們對 Material Theme 進行高風險評估是因為檢測到主題的“release-notes.js”檔案中存在程式碼執行功能，並且該檔案也被嚴重混淆。

Astorino 立即對這些指控以及將其擴充套件從 VSCode 市場中刪除的行為提出異議，聲稱問題來自於自 2016 年以來用於顯示 Sanity Headless CMS 發行說明的過時的 sanity.io 依賴項。

Astorino 還說道，如果微軟聯絡他們，他們可以在幾秒鐘內從主題中刪除這種依賴關係；但事實是，他們發現自己在沒有任何警告的情況下被封禁。

“沒有任何惡意行為。自從我專注於新版本以來，除了混淆過程之外，我已經好幾年沒有更新過該擴充套件程式了。唯一的問題是最終出現在分散式 index.js（指 Material Theme Icons）中的構建指令碼。該指令碼用於從閉源儲存庫中提取 SVG 圖示後生成 JSON 檔案 —— 我很久以前就刪除了它。關於 Material Theme，混淆過程無意中包含了 sanity.io SDK 客戶端，其中包含一些引用密碼或使用者名稱的字串（身份驗證客戶端）。然而，這些並沒有危害 —— 只是很久以前構建過程存在缺陷的結果。”

微軟的 Scott Hanselman 日前在 GitHub issue 上向 Astorino 進行了道歉：

誤報很糟糕，發生時很痛苦。

Material Theme 和 Material Theme Icons（Equinusocio）的釋出者賬戶被錯誤標記，現在已恢復。出於安全考慮，我們行動太快，結果搞砸了。

我們刪除這些主題是因為它們觸發了微軟內部的多個惡意軟體檢測指標，而我們的調查得出了錯誤的結論。我們非常重視 VS Code 生態系統的安全性，並迅速採取行動保護我們的使用者。

我理解“Equinusocio”擴充套件的作者的沮喪和強烈反應，我們也能理解。這很糟糕，但有時這樣的事情也會發生。我們將澄清我們對混淆程式碼的政策，並將更新我們的掃描程式和調查流程，以減少再次發生類似事件的可能性。

這些擴充套件是安全的，已恢復供 VS Code 社群使用。