今天小編分享的互聯網經驗:因存在安全風險,900 萬次安裝量的 VSCode 擴展被下架,歡迎閲讀。
微軟已從 Visual Studio 市場中移除了兩個熱門的 VSCode 擴展程式 "Material Theme - Free" 和 "Material Theme Icons - Free",原因是發現它們包含惡意代碼。
這兩個擴展程式非常受歡迎,總共被下載了近 900 萬次,現在 VSCode 用户會收到安全提醒,提示這兩個擴展程式已被自動禁用。
在近期發布的一份報告中,研究人員稱他們在這些擴展程式中發現了可疑代碼,并将他們的發現報告給了微軟。
微軟員工在 YCombinator 的 Hacker News 上發帖稱:" 微軟已将這兩個擴展從 VS Code 市場移除,并封禁了開發者。"
社區中的一名成員對該擴展程式進行了深入的安全分析,發現了多個表明存在惡意意圖的危險信号,微軟的安全研究人員确認了這些説法,并發現了更多可疑代碼。
VSCode 自動删除材料主題擴展
研究人員表示,他們認為惡意代碼是在擴展的更新中引入的,這表明要麼是通過依賴項進行的供應鏈攻擊,要麼是開發者的賬户遭到了破壞。
掃描器對材料主題的風險評估
此外,他們解釋説,主題應該是靜态 JSON 檔案,不執行任何代碼,所以這種行為在他們的評估中被标記為可疑。此説法也得到了證實,主題中的 "release-notes.js" 檔案包含嚴重混淆的 JavaScript,這在開源軟體中是一個危險信号。
在 release-notes.js 檔案中嚴重混淆了 JavaScript
代碼的部分解混淆顯示了大量對用户名和密碼的引用。微軟表示,他們将很快在 VSMarketplace GitHub 存儲庫中發布有關該擴展和任何檢測到的惡意活動的更多細節。
擴展的開發人員回應了關于擴展是惡意的擔憂,指出這些問題是由過時的 Sanity 引起的。IO 依賴項 " 看起來受到了損害 "。
在情況清除并确定擴展是否惡意之前,建議從所有項目中删除以下擴展:
·equinusocio.moxer-theme
·equinusocio.vsc-material-theme
·equinusocio.vsc-material-theme-icons
·equinusocio.vsc-community-material-theme
·equinusocio.moxer-icons
開發人員後來發布了一個他們聲稱是 " 完全重寫的擴展 ",沒有任何名為 "Fanny Themes" 的 VSCode 市場依賴,微軟随後将其删除。
