微软从VSCode Marketplace移除两款受欢迎扩展，因其包含恶意代码。总下载量近900万次的扩展被自动禁用，发布者多个扩展总安装量超1300万次。研究人员发现可疑代码，微软采取系列措施，开发者做出回应。

🎯微软移除两款含恶意代码的VSCode扩展

📈扩展总下载量近900万，发布者其他扩展安装量超1300万

🔍研究人员发现可疑代码并报告微软

💬开发者称问题源于过时依赖项被入侵

HackerNews 编译，转载请注明出处：

微软已从Visual Studio Marketplace移除了两款受欢迎的VSCode扩展：“Material Theme – Free”和“Material Theme Icons – Free”，原因是这些扩展据称包含恶意代码。

这两款扩展非常受欢迎，总下载量接近900万次，用户现在会在VSCode中收到提示，告知这些扩展已被自动禁用。

发布者马蒂亚·阿斯托里诺（网名equinusocio）在VSCode Marketplace上有多个扩展，总安装量超过1300万次。

关于这些扩展存在恶意软件的消息来自网络安全研究人员阿米特·阿萨拉夫和伊泰·克鲁克，他们在扫描VSCode恶意扩展方面具有专业技能。

在今天发布的一份报告中，研究人员表示他们在这些扩展中发现了可疑代码，并已将调查结果报告给微软。

“微软已从VS Code Marketplace移除了这两个扩展，并封禁了开发者。”一位微软员工在YCombinator的Hacker News上发布消息称，“社区成员对扩展进行了深入的安全分析，发现了多个表明存在恶意意图的危险信号，并将此报告给了我们。微软的安全研究人员证实了这些说法，并发现了更多可疑代码。”

“我们已将发布者从VS Marketplace封禁，移除了其所有扩展，并从所有运行这些扩展的VS Code实例中卸载。为澄清，此次移除与版权/许可证无关，仅涉及潜在的恶意意图。”

VSCode自动移除Material Theme扩展

 

研究人员告诉BleepingComputer，他们的专业扫描器检测到扩展代码中存在恶意活动。其中一位研究人员阿米特·阿萨拉夫表示，他们认为恶意代码是在扩展更新中引入的，这表明要么是通过依赖项的供应链攻击，要么是开发者的账户被入侵。

 

此外，他们解释称，主题应该是静态的JSON文件，不应执行任何代码，因此这种行为在他们的评估中被标记为可疑。

经BleepingComputer验证，主题中的“release-notes.js”文件包含高度混淆的JavaScript，这在开源软件中始终是一个危险信号。

“release-notes.js”文件中的高度混淆JavaScript

对代码的部分反混淆显示了对用户名和密码的多次引用。然而，由于文件仍然高度混淆，BleepingComputer无法确定这些引用的具体方式。

微软表示，他们将很快在VSMarketplace GitHub仓库中发布更多关于该扩展和任何检测到的恶意活动的详细信息。

扩展的开发者马蒂亚·阿斯托里诺（网名equinusocio）回应了关于扩展存在恶意软件的担忧，称问题是由于过时的Sanity.io依赖项“看起来被入侵”所致。

“亲爱的@gegtor，Material Theme从未包含任何有害内容。”阿斯托里诺在微软的VSMarketplace仓库中发布消息称，“我们自2016年以来使用了一个过时的sanity.io依赖项来从sanity headless CMS显示发布说明，这就是他们发现的唯一问题。”

“该依赖项自2016年以来一直存在，并且通过了此后所有的检查，现在看起来被入侵了，但微软从未联系过我们要求移除它。他们直接下架了一切，导致数百万用户出现问题，并在VSCode中造成循环（是的，这是他们的错）。”

“他们从未联系我们澄清就破坏了一切。移除旧依赖项只需30秒，但这似乎就是微软的行事方式。我们还提供了一个混淆的index.js文件，其中包含所有主题命令和逻辑。它被混淆是因为扩展现在是闭源的；然而，如果你删除它，扩展仍然可以使用纯JSON文件正常运行。”

在情况明朗并确定这些扩展是否恶意之前，建议从所有项目中移除以下内容：

– equinusocio.moxer-theme

– equinusocio.vsc-material-theme

– equinusocio.vsc-material-theme-icons

– equinusocio.vsc-community-material-theme

– equinusocio.moxer-icons

随后，开发者阿斯托里诺在VSCode Marketplace上发布了一个名为“Fanny Themes”的“完全重写且没有任何依赖项”的扩展，但微软随后将其移除。

针对我们关于混淆的release-notes.js文件的问题，阿斯托里诺重申了他在GitHub上的说法，即一个@sanity依赖项被入侵，如果他收到通知，可以迅速移除。

“发布说明文件是在2016年制作并用于从sanity.io（一个无头CMS）生成网页视图以显示更改的。”阿斯托里诺告诉BleepingComputer，“从那以后就再也没有动过，因为我一直专注于扩展的新版本。唯一有害的东西是旧的（也是唯一的）@sanity依赖项，它已被入侵。但我并不知情。”

 

---

消息来源：Bleeping Computer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文