近日，科技新聞界傳出消息，知名科技媒體bleepingcomputer報(bào)道了一則關(guān)于Visual Studio Code（VS Code）擴(kuò)展程序的安全事件。據(jù)報(bào)道，微軟已經(jīng)確認(rèn)并下架了兩款備受歡迎的VS Code擴(kuò)展程序——“Material Theme - Free”和“Material Theme Icons - Free”，原因是這兩款程序涉嫌包含惡意代碼。

這兩款擴(kuò)展程序在VS Code用戶中享有極高的知名度，累計(jì)下載量接近900萬(wàn)次。然而，用戶現(xiàn)在如果繼續(xù)使用這兩款擴(kuò)展程序，將會(huì)收到來(lái)自VS Code的自動(dòng)禁用提示。這一舉措是微軟在確認(rèn)安全問(wèn)題后迅速采取的防范措施。

此次安全事件的發(fā)現(xiàn)歸功于網(wǎng)絡(luò)安全研究員Amit Assaraf和Itay Kruk。他們?cè)趯?duì)這兩款擴(kuò)展程序進(jìn)行深入研究時(shí)，發(fā)現(xiàn)了其中的可疑代碼，并及時(shí)向微軟報(bào)告了他們的發(fā)現(xiàn)。據(jù)研究人員透露，主題文件通常應(yīng)該是靜態(tài)的JSON文件，不應(yīng)該包含任何可執(zhí)行代碼。然而，在這兩款擴(kuò)展程序的“release-notes.js”文件中，他們發(fā)現(xiàn)了高度混淆的Java代碼，這在開(kāi)源軟件中通常被視為一個(gè)潛在的安全風(fēng)險(xiǎn)。

微軟的安全團(tuán)隊(duì)在接到報(bào)告后，迅速對(duì)這兩款擴(kuò)展程序進(jìn)行了深入調(diào)查，并證實(shí)了研究人員的說(shuō)法。他們不僅發(fā)現(xiàn)了其他可疑代碼，還決定立即從VS Code市場(chǎng)下架這兩款擴(kuò)展程序，并封禁了開(kāi)發(fā)者的賬號(hào)。微軟表示，他們正在進(jìn)一步調(diào)查這兩款擴(kuò)展程序的惡意活動(dòng)，并承諾會(huì)盡快在VSMarketplace GitHub存儲(chǔ)庫(kù)中發(fā)布更多詳細(xì)信息。

在微軟采取行動(dòng)后，VS Code用戶開(kāi)始面臨一個(gè)棘手的問(wèn)題：是否應(yīng)該繼續(xù)使用這些可能存在安全隱患的擴(kuò)展程序。為了確保系統(tǒng)的安全性，微軟建議用戶從所有項(xiàng)目中移除與這兩款擴(kuò)展程序相關(guān)的其他擴(kuò)展，包括equinusocio.moxer-theme、equinusocio.vsc-material-theme、equinusocio.vsc-material-theme-icons、equinusocio.vsc-community-material-theme和equinusocio.moxer-icons等。

面對(duì)這一突如其來(lái)的安全事件，擴(kuò)展程序的開(kāi)發(fā)者M(jìn)attia Astorino（又名equinusocio）也發(fā)表了回應(yīng)。他表示，問(wèn)題是由過(guò)時(shí)的Sanity.io依賴項(xiàng)引起的，并認(rèn)為自己的擴(kuò)展程序可能遭到了入侵。Astorino強(qiáng)調(diào)，Material Theme中從未發(fā)布過(guò)任何有害內(nèi)容，他使用的只是自2016年以來(lái)就存在的問(wèn)題——一個(gè)過(guò)時(shí)的sanity.io依賴項(xiàng)，用于顯示來(lái)自Sanity headless CMS的發(fā)布說(shuō)明。他對(duì)于微軟在未與他聯(lián)系的情況下就下架了所有擴(kuò)展程序表示不滿，認(rèn)為這給數(shù)百萬(wàn)用戶帶來(lái)了困擾。