ITCOW牛新网 2月27日消息,微软近期从 Visual Studio Marketplace 下架了两款热门的 VS Code 扩展程序——“Material Theme – Free”和“Material Theme Icons – Free”,原因是这两款扩展程序被发现包含恶意代码。据科技媒体 BleepingComputer 报道,这两款扩展程序的累计下载量接近 900 万次,目前用户在使用这些扩展时会收到自动禁用的提示。
据 ITCOW牛新网了解,网络安全研究员 Amit Assaraf 和 Itay Kruk 率先发现了这两款扩展程序中的可疑代码,并向微软报告。研究人员指出,作为主题文件的扩展程序,其核心应该是静态的 JSON 文件,而这两款扩展程序的“release-notes.js”文件却包含了高度混淆的 JavaScript 代码,这种做法在开源软件中通常是一个安全隐患。微软的安全团队确认了这一问题,并发现了其他可疑代码,随后决定下架相关扩展并封禁开发者账号。
这两款扩展的开发者是 Mattia Astorino,他在 VS Code 市场发布了多个扩展,累计安装量超过 1300 万次。Astorino 对此事件作出回应,表示问题源自于过时的 Sanity.io 依赖项,这些依赖项“看起来像是被入侵了”。他坚称,Material Theme 中从未发布过任何有害内容,表示这一问题源于自 2016 年以来就存在的依赖问题,且未被及时修复。他对微软在未联系他之前就下架所有扩展表示遗憾,认为这给数百万用户带来了不必要的麻烦。
目前,微软表示正在进一步调查这两款扩展程序的恶意活动,并计划在 VSMarketplace 的 GitHub 存储库中公布更多细节。在此之前,微软建议用户从所有项目中移除相关扩展程序,包括 equinusocio.moxer-theme、equinusocio.vsc-material-theme、equinusocio.vsc-material-theme-icons、equinusocio.vsc-community-material-theme 和 equinusocio.moxer-icons。