近日,科技新闻界传出消息,知名科技媒体bleepingcomputer报道了一则关于Visual Studio Code(VS Code)扩展程序的安全事件。据报道,微软已经确认并下架了两款备受欢迎的VS Code扩展程序——“Material Theme - Free”和“Material Theme Icons - Free”,原因是这两款程序涉嫌包含恶意代码。
这两款扩展程序在VS Code用户中享有极高的知名度,累计下载量接近900万次。然而,用户现在如果继续使用这两款扩展程序,将会收到来自VS Code的自动禁用提示。这一举措是微软在确认安全问题后迅速采取的防范措施。
此次安全事件的发现归功于网络安全研究员Amit Assaraf和Itay Kruk。他们在对这两款扩展程序进行深入研究时,发现了其中的可疑代码,并及时向微软报告了他们的发现。据研究人员透露,主题文件通常应该是静态的JSON文件,不应该包含任何可执行代码。然而,在这两款扩展程序的“release-notes.js”文件中,他们发现了高度混淆的Java代码,这在开源软件中通常被视为一个潜在的安全风险。
微软的安全团队在接到报告后,迅速对这两款扩展程序进行了深入调查,并证实了研究人员的说法。他们不仅发现了其他可疑代码,还决定立即从VS Code市场下架这两款扩展程序,并封禁了开发者的账号。微软表示,他们正在进一步调查这两款扩展程序的恶意活动,并承诺会尽快在VSMarketplace GitHub存储库中发布更多详细信息。
在微软采取行动后,VS Code用户开始面临一个棘手的问题:是否应该继续使用这些可能存在安全隐患的扩展程序。为了确保系统的安全性,微软建议用户从所有项目中移除与这两款扩展程序相关的其他扩展,包括equinusocio.moxer-theme、equinusocio.vsc-material-theme、equinusocio.vsc-material-theme-icons、equinusocio.vsc-community-material-theme和equinusocio.moxer-icons等。
面对这一突如其来的安全事件,扩展程序的开发者Mattia Astorino(又名equinusocio)也发表了回应。他表示,问题是由过时的Sanity.io依赖项引起的,并认为自己的扩展程序可能遭到了入侵。Astorino强调,Material Theme中从未发布过任何有害内容,他使用的只是自2016年以来就存在的问题——一个过时的sanity.io依赖项,用于显示来自Sanity headless CMS的发布说明。他对于微软在未与他联系的情况下就下架了所有扩展程序表示不满,认为这给数百万用户带来了困扰。
