微軟已從 Visual Studio 市場中移除了兩個熱門的 VSCode 擴展程序“Material Theme - Free”和“Material Theme Icons - Free”，原因是發現它們包含惡意代碼。

這兩個擴展程序非常受歡迎，總共被下載了近 900 萬次，現在 VSCode 用戶會收到安全提醒，提示這兩個擴展程序已被自動禁用。

在近期發布的一份報告中，研究人員稱他們在這些擴展程序中發現了可疑代碼，并將他們的發現報告給了微軟。

微軟員工在 YCombinator 的 Hacker News 上發帖稱：“微軟已將這兩個擴展從 VS Code 市場移除，并封禁了開發者。”

社區中的一名成員對該擴展程序進行了深入的安全分析，發現了多個表明存在惡意意圖的危險信號，微軟的安全研究人員確認了這些說法，并發現了更多可疑代碼。

VSCode自動刪除材料主題擴展

研究人員表示，他們認為惡意代碼是在擴展的更新中引入的，這表明要么是通過依賴項進行的供應鏈攻擊，要么是開發者的賬戶遭到了破壞。

掃描儀對材料主題的風險評估

此外，他們解釋說，主題應該是靜態JSON文件，不執行任何代碼，所以這種行為在他們的評估中被標記為可疑。此說法也得到了證實，主題中的“release-notes.js”文件包含嚴重混淆的JavaScript，這在開源軟件中是一個危險信號。

在release-notes.js文件中嚴重混淆了JavaScript

代碼的部分解混淆顯示了大量對用戶名和密碼的引用。微軟表示，他們將很快在VSMarketplace GitHub存儲庫中發布有關該擴展和任何檢測到的惡意活動的更多細節。

擴展的開發人員回應了關于擴展是惡意的擔憂，指出這些問題是由過時的Sanity引起的。IO依賴項“看起來受到了損害”。

在情況清除并確定擴展是否惡意之前，建議從所有項目中刪除以下擴展：

·equinusocio.moxer-theme

·equinusocio.vsc-material-theme

·equinusocio.vsc-material-theme-icons

·equinusocio.vsc-community-material-theme

·equinusocio.moxer-icons

開發人員后來發布了一個他們聲稱是“完全重寫的擴展”，沒有任何名為“Fanny Themes”的VSCode市場依賴，微軟隨后將其刪除。

參考及來源：https://www.bleepingcomputer.com/news/security/vscode-extensions-with-9-million-installs-pulled-over-security-risks/