近日,科技新聞界傳出消息,知名科技媒體bleepingcomputer報道了一則關于Visual Studio Code(VS Code)擴展程序的安全事件。據報道,微軟已經確認并下架了兩款備受歡迎的VS Code擴展程序——“Material Theme - Free”和“Material Theme Icons - Free”,原因是這兩款程序涉嫌包含惡意代碼。
這兩款擴展程序在VS Code用戶中享有極高的知名度,累計下載量接近900萬次。然而,用戶現在如果繼續使用這兩款擴展程序,將會收到來自VS Code的自動禁用提示。這一舉措是微軟在確認安全問題后迅速采取的防范措施。
此次安全事件的發現歸功于網絡安全研究員Amit Assaraf和Itay Kruk。他們在對這兩款擴展程序進行深入研究時,發現了其中的可疑代碼,并及時向微軟報告了他們的發現。據研究人員透露,主題文件通常應該是靜態的JSON文件,不應該包含任何可執行代碼。然而,在這兩款擴展程序的“release-notes.js”文件中,他們發現了高度混淆的Java代碼,這在開源軟件中通常被視為一個潛在的安全風險。
微軟的安全團隊在接到報告后,迅速對這兩款擴展程序進行了深入調查,并證實了研究人員的說法。他們不僅發現了其他可疑代碼,還決定立即從VS Code市場下架這兩款擴展程序,并封禁了開發者的賬號。微軟表示,他們正在進一步調查這兩款擴展程序的惡意活動,并承諾會盡快在VSMarketplace GitHub存儲庫中發布更多詳細信息。
在微軟采取行動后,VS Code用戶開始面臨一個棘手的問題:是否應該繼續使用這些可能存在安全隱患的擴展程序。為了確保系統的安全性,微軟建議用戶從所有項目中移除與這兩款擴展程序相關的其他擴展,包括equinusocio.moxer-theme、equinusocio.vsc-material-theme、equinusocio.vsc-material-theme-icons、equinusocio.vsc-community-material-theme和equinusocio.moxer-icons等。
面對這一突如其來的安全事件,擴展程序的開發者Mattia Astorino(又名equinusocio)也發表了回應。他表示,問題是由過時的Sanity.io依賴項引起的,并認為自己的擴展程序可能遭到了入侵。Astorino強調,Material Theme中從未發布過任何有害內容,他使用的只是自2016年以來就存在的問題——一個過時的sanity.io依賴項,用于顯示來自Sanity headless CMS的發布說明。他對于微軟在未與他聯系的情況下就下架了所有擴展程序表示不滿,認為這給數百萬用戶帶來了困擾。
