微软下架两款抢手 VS Code 扩大，900 万用户受影响

IT之家 2 月 27 日新闻，科技媒体 bleepingcomputer 昨日（2 月 26 日）宣布博文，报道称微软发明“Material Theme - Free”跟“Material Theme Icons - Free”涉嫌包括歹意代码，现已从 Visual Studio Marketplace 下架这两款热点 VS Code 扩大顺序。IT之家注：这两款扩大顺序十分受欢送，累计下载量近 900 万次。用户当初应用这两款扩大顺序，在 VS Code 中会收到主动禁用提醒。保险成绩洞察收集保险研讨员 Amit Assaraf 跟 Itay Kruk 发明了这些扩大顺序中的可疑代码，并向微软讲演了他们的发明。研讨职员表现，主题文件应当是静态的 JSON 文件，不该该履行任何代码，而这两款扩大主题中的“release-notes.js”文件包括高度混杂的 JavaScript 代码，这在开源软件中平日是一个伤害旌旗灯号。微软的保险研讨职员证明了这一说法，并发明了其余可疑代码，随后从 VS Code 市场下架这两款扩大顺序，并皇冠真人官方网站封禁了开辟者账号。微软正在进一步伐查这两款扩大顺序的歹意运动，并表现会尽快在 VSMarketplace GitHub 存储库中宣布更多具体信息。在情形暧昧之前，倡议用户从全部名目中移除 equinusocio.moxer-theme、equinusocio.vsc-material-theme、equinusocio.vsc-material-theme-icons、equinusocio.vsc-community-material-theme 跟 equinusocio.moxer-icons 这多少个扩大顺序。开辟者回应扩大顺序的开辟者是 Mattia Astorino（别名 equinusocio），他在 VS Code 市场上宣布了多个扩大顺序，总装置量超越 1300 万次。Astorino 回应称，成绩是由九州体育bet9入口过期的 Sanity.io 依附项惹起的，“看起来像是被入侵了”。他表现，Material Theme 中从未宣布过任何无害内容，过后复盘称只是应用了自 2016 年以来就存在的成绩，应用过期的 sanity.io 依附项，来表澳门永利官方登录入口现来自 Sanity headless CMS 的宣布阐明。他以为微软在不接洽他的情形下就下架了全部扩大顺序，给数百万用户形成了成绩。