微软已从 Visual Studio 市场中移除了两个热门的 VSCode 扩展程序“Material Theme - Free”和“Material Theme Icons - Free”，原因是发现它们包含恶意代码。

这两个扩展程序非常受欢迎，总共被下载了近 900 万次，现在 VSCode 用户会收到安全提醒，提示这两个扩展程序已被自动禁用。

在近期发布的一份报告中，研究人员称他们在这些扩展程序中发现了可疑代码，并将他们的发现报告给了微软。

微软员工在 YCombinator 的 Hacker News 上发帖称：“微软已将这两个扩展从 VS Code 市场移除，并封禁了开发者。”

社区中的一名成员对该扩展程序进行了深入的安全分析，发现了多个表明存在恶意意图的危险信号，微软的安全研究人员确认了这些说法，并发现了更多可疑代码。

VSCode自动删除材料主题扩展

研究人员表示，他们认为恶意代码是在扩展的更新中引入的，这表明要么是通过依赖项进行的供应链攻击，要么是开发者的账户遭到了破坏。

扫描仪对材料主题的风险评估

此外，他们解释说，主题应该是静态JSON文件，不执行任何代码，所以这种行为在他们的评估中被标记为可疑。此说法也得到了证实，主题中的“release-notes.js”文件包含严重混淆的JavaScript，这在开源软件中是一个危险信号。

在release-notes.js文件中严重混淆了JavaScript

代码的部分解混淆显示了大量对用户名和密码的引用。微软表示，他们将很快在VSMarketplace GitHub存储库中发布有关该扩展和任何检测到的恶意活动的更多细节。

扩展的开发人员回应了关于扩展是恶意的担忧，指出这些问题是由过时的Sanity引起的。IO依赖项“看起来受到了损害”。

在情况清除并确定扩展是否恶意之前，建议从所有项目中删除以下扩展：

·equinusocio.moxer-theme

·equinusocio.vsc-material-theme

·equinusocio.vsc-material-theme-icons

·equinusocio.vsc-community-material-theme

·equinusocio.moxer-icons

开发人员后来发布了一个他们声称是“完全重写的扩展”，没有任何名为“Fanny Themes”的VSCode市场依赖，微软随后将其删除。

参考及来源：https://www.bleepingcomputer.com/news/security/vscode-extensions-with-9-million-installs-pulled-over-security-risks/