HackerNews 编译,转载请注明出处:
微软就删除VSCode扩展一事向开发者致歉
2025年3月13日,微软在Visual Studio Marketplace中重新上架了“Material Theme – Free”和“Material Theme Icons – Free”两款VSCode扩展。此前,这两款扩展因被怀疑包含恶意代码而被下架,其开发者Mattia Astorino(别名“equinusocio”)也被平台封禁。
这两款扩展的安装量超过900万次,于2月因安全风险被下架。当时,微软表示,社区成员对扩展进行了深度安全分析,发现多处可疑迹象并报告给微软。微软安全研究人员确认了这一说法,并发现了更多可疑代码。
研究人员Amit Assaraf和Itay Kruk在使用AI扫描工具检查VSCode提交内容时,首次将这两款扩展标记为潜在恶意软件。他们认为,Material Theme的“release-notes.js”文件中存在代码执行能力且代码经过高度混淆,这引发了安全担忧。
然而,开发者Astorino对此表示反对,称问题出自在扩展中使用的一个自2016年以来就未更新的sanity.io依赖项,该依赖项用于显示发布说明。他指出,如果微软在下架前与他沟通,他可以在几秒钟内解决这一问题,而不是直接封禁他的账号。
Astorino表示,Material Theme扩展的混淆过程中无意中包含了sanity.io SDK客户端,其中包含了一些引用用户名或密码的字符串,但这些并非恶意代码,只是多年前构建过程中的一个错误。
3月12日,微软的Scott Hanselman在GitHub上向Astorino道歉,并恢复了他的开发者账号。他承认,微软在处理此事时过于仓促,导致了错误的结论。Hanselman还表示,Visual Studio Code Marketplace将更新其对混淆代码的政策,并改进扫描工具,以避免未来再次匆忙处理类似项目。
尽管如此,Amit Assaraf在接受采访时仍坚持认为,该扩展确实包含恶意代码,但他也承认开发者并无恶意意图。
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
