今天小编分享的互联网经验:因存在安全风险,900 万次安装量的 VSCode 扩展被下架,欢迎阅读。
微软已从 Visual Studio 市场中移除了两个热门的 VSCode 扩展程式 "Material Theme - Free" 和 "Material Theme Icons - Free",原因是发现它们包含恶意代码。
这两个扩展程式非常受欢迎,总共被下载了近 900 万次,现在 VSCode 用户会收到安全提醒,提示这两个扩展程式已被自动禁用。
在近期发布的一份报告中,研究人员称他们在这些扩展程式中发现了可疑代码,并将他们的发现报告给了微软。
微软员工在 YCombinator 的 Hacker News 上发帖称:" 微软已将这两个扩展从 VS Code 市场移除,并封禁了开发者。"
社区中的一名成员对该扩展程式进行了深入的安全分析,发现了多个表明存在恶意意图的危险信号,微软的安全研究人员确认了这些说法,并发现了更多可疑代码。
VSCode 自动删除材料主题扩展
研究人员表示,他们认为恶意代码是在扩展的更新中引入的,这表明要么是通过依赖项进行的供应链攻击,要么是开发者的账户遭到了破坏。
掃描器对材料主题的风险评估
此外,他们解释说,主题应该是静态 JSON 檔案,不执行任何代码,所以这种行为在他们的评估中被标记为可疑。此说法也得到了证实,主题中的 "release-notes.js" 檔案包含严重混淆的 JavaScript,这在开源軟體中是一个危险信号。
在 release-notes.js 檔案中严重混淆了 JavaScript
代码的部分解混淆显示了大量对用户名和密码的引用。微软表示,他们将很快在 VSMarketplace GitHub 存储库中发布有关该扩展和任何检测到的恶意活动的更多细节。
扩展的开发人员回应了关于扩展是恶意的担忧,指出这些问题是由过时的 Sanity 引起的。IO 依赖项 " 看起来受到了损害 "。
在情况清除并确定扩展是否恶意之前,建议从所有项目中删除以下扩展:
·equinusocio.moxer-theme
·equinusocio.vsc-material-theme
·equinusocio.vsc-material-theme-icons
·equinusocio.vsc-community-material-theme
·equinusocio.moxer-icons
开发人员后来发布了一个他们声称是 " 完全重写的扩展 ",没有任何名为 "Fanny Themes" 的 VSCode 市场依赖,微软随后将其删除。
