蓝点网
·
安装量近900万次的Visual Studio Code主题扩展包含恶意代码 开发者发布回应
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
微软删除了近900万次安装的Visual Studio Code主题扩展,因其含恶意代码导致VSCode循环启动。开发者称问题源于过时依赖项,并抱怨微软未提前沟通便封禁账户。建议用户暂时删除这些扩展。
🎯
关键要点
- 微软删除了近900万次安装的Visual Studio Code主题扩展,因其含恶意代码导致VSCode循环启动。
- 主题开发者称问题源于过时的依赖项,并抱怨微软未提前沟通便封禁账户。
- 微软已从Visual Studio Marketplace中删除了流行的Material Theme Free和Material Theme Icons扩展。
- 网络安全研究人员发现多个扩展程序包含恶意代码,微软随后删除了这些扩展并封禁了开发者账号。
- 研究人员认为恶意代码可能是通过扩展更新添加的,或是依赖项遭到感染,或开发者账号被入侵。
- 开发者Mattia Astorino否认添加恶意代码,认为问题可能是过时的Sanity.io依赖项引起的。
- 开发者抱怨微软处理方式不当,删除依赖项只需30秒,但微软未与开发者沟通。
- 建议用户暂时删除可能包含恶意代码的扩展程序,待微软确认后再决定是否重新安装。
➡️
