微软紧迫下架！900 万次下载的闻名 VSCode 主题“有毒”

　　安全专家查询发现，这些看似无害的主题竟隐藏高度混杂的恶意代码，或许引发大规模开发者账户走漏危机。

　　网络安全研究员 Amit Assaraf 团队在例行扫描中发现异常：本应仅含静态 JSON 文件的主题扩展，其release-notes.js文件竟存在很多加密 Java 代码。

　　经过部分反混杂后，代码中露出出对用户名、暗码等灵敏信息的调用指令，但详细进犯途径没有清晰。

　　专家估测，这或许是经过 2023 年某次更新植入的供应链进犯，或开发者账号遭黑客绑架所造成的。

　　微软证明，涉事扩展的开发者Mattia Astorino（ID: equinusocio）名下 13 款插件总装置量超 1300 万，此次不只下架一切相关这类的产品，更直接封禁其开发者账号，并强制卸载全球用户端的现存插件。

　　面临指控，Astorino 在 GitHub 上喊冤，他从未添加过任何有害代码，称问题源于 2016 年留传的Sanity.io旧版依靠，该组件仅用于显现更新日志，着重30 分钟即可修正缝隙。

　　他责备微软未提早交流就全面封杀，而且禁用主题后还导致 VSCode 呈现了循环发动，这样的一个问题应完全由微软担任。

　　安全有经历的人指出，主题类扩展本不应具有代码履行才能，此次事情露出开源生态的丧命缺点：

　　微软许诺将在 GitHub 揭露完好技能剖析陈述。现在主张开发者当即查看并卸载以下高危扩展：