近日，科技新聞界傳出消息，知名科技媒體bleepingcomputer報道了一則關(guān)于Visual Studio Code（VS Code）擴(kuò)展程序的安全事件。據(jù)報道，微軟已經(jīng)確認(rèn)并下架了兩款備受歡迎的VS Code擴(kuò)展程序——“Material Theme - Free”和“Material Theme Icons - Free”，原因是這兩款程序涉嫌包含惡意代碼。

這兩款擴(kuò)展程序在VS Code用戶中享有極高的知名度，累計下載量接近900萬次。然而，用戶現(xiàn)在如果繼續(xù)使用這兩款擴(kuò)展程序，將會收到來自VS Code的自動禁用提示。這一舉措是微軟在確認(rèn)安全問題后迅速采取的防范措施。

此次安全事件的發(fā)現(xiàn)歸功于網(wǎng)絡(luò)安全研究員Amit Assaraf和Itay Kruk。他們在對這兩款擴(kuò)展程序進(jìn)行深入研究時，發(fā)現(xiàn)了其中的可疑代碼，并及時向微軟報告了他們的發(fā)現(xiàn)。據(jù)研究人員透露，主題文件通常應(yīng)該是靜態(tài)的JSON文件，不應(yīng)該包含任何可執(zhí)行代碼。然而，在這兩款擴(kuò)展程序的“release-notes.js”文件中，他們發(fā)現(xiàn)了高度混淆的Java代碼，這在開源軟件中通常被視為一個潛在的安全風(fēng)險。

微軟的安全團(tuán)隊在接到報告后，迅速對這兩款擴(kuò)展程序進(jìn)行了深入調(diào)查，并證實(shí)了研究人員的說法。他們不僅發(fā)現(xiàn)了其他可疑代碼，還決定立即從VS Code市場下架這兩款擴(kuò)展程序，并封禁了開發(fā)者的賬號。微軟表示，他們正在進(jìn)一步調(diào)查這兩款擴(kuò)展程序的惡意活動，并承諾會盡快在VSMarketplace GitHub存儲庫中發(fā)布更多詳細(xì)信息。

在微軟采取行動后，VS Code用戶開始面臨一個棘手的問題：是否應(yīng)該繼續(xù)使用這些可能存在安全隱患的擴(kuò)展程序。為了確保系統(tǒng)的安全性，微軟建議用戶從所有項目中移除與這兩款擴(kuò)展程序相關(guān)的其他擴(kuò)展，包括equinusocio.moxer-theme、equinusocio.vsc-material-theme、equinusocio.vsc-material-theme-icons、equinusocio.vsc-community-material-theme和equinusocio.moxer-icons等。

面對這一突如其來的安全事件，擴(kuò)展程序的開發(fā)者M(jìn)attia Astorino（又名equinusocio）也發(fā)表了回應(yīng)。他表示，問題是由過時的Sanity.io依賴項引起的，并認(rèn)為自己的擴(kuò)展程序可能遭到了入侵。Astorino強(qiáng)調(diào)，Material Theme中從未發(fā)布過任何有害內(nèi)容，他使用的只是自2016年以來就存在的問題——一個過時的sanity.io依賴項，用于顯示來自Sanity headless CMS的發(fā)布說明。他對于微軟在未與他聯(lián)系的情況下就下架了所有擴(kuò)展程序表示不滿，認(rèn)為這給數(shù)百萬用戶帶來了困擾。