误下架安装量近 900 万次的 VS Code 扩展,微软道歉


在误判并下架“Material Theme - Free”和“Material Theme Icons - Free”扩展后,微软已在 Visual Studio Marketplace 上重新上架了这些扩展。

这两个 VSCode 扩展的安装量超过 900 万次,由于被认为存在安全风险于 2 月底从 VSCode 市场中下架,其发布者 Mattia Astorino(又名“equinusocio”)也被禁止使用该平台。

一名微软员工彼时表示:“社区的一名成员对该扩展进行了深入的安全分析,发现了多个表明恶意意图的危险信号,并将此情况报告给了我们。微软的安全研究人员证实了这一说法,并发现了其他可疑代码。”

研究人员 Amit Assaraf 和 Itay Kruk 部署了 AI 扫描器,寻找 VSCode 上的可疑提交内容,并首先将其标记为潜在恶意软件。研究人员向 BleepingComputer 表示,他们对 Material Theme 进行高风险评估是因为检测到主题的“release-notes.js”文件中存在代码执行功能,并且该文件也被严重混淆。

Astorino 立即对这些指控以及将其扩展从 VSCode 市场中删除的行为提出异议,声称问题来自于自 2016 年以来用于显示 Sanity Headless CMS 发行说明的过时的 sanity.io 依赖项。

并表示,如果微软联系他们,他们可以在几秒钟内从主题中删除这种依赖关系;但事实是,他们发现自己在没有任何警告的情况下被封禁。

“没有任何恶意行为。自从我专注于新版本以来,除了混淆过程之外,我已经好几年没有更新过该扩展程序了。唯一的问题是最终出现在分布式 index.js(指 Material Theme Icons)中的构建脚本。该脚本用于从闭源存储库中提取 SVG 图标后生成 JSON 文件——我很久以前就删除了它。关于 Material Theme,混淆过程无意中包含了 sanity.io SDK 客户端,其中包含一些引用密码或用户名的字符串(身份验证客户端)。然而,这些并没有危害——只是很久以前构建过程存在缺陷的结果。”

微软的 Scott Hanselman 日前在 GitHub issue 上向 Astorino 进行了道歉:

误报很糟糕,发生时很痛苦。

Material Theme 和 Material Theme Icons(Equinusocio)的发布者账户被错误标记,现在已恢复。出于安全考虑,我们行动太快,结果搞砸了。

我们删除这些主题是因为它们触发了微软内部的多个恶意软件检测指标,而我们的调查得出了错误的结论。我们非常重视 VS Code 生态系统的安全性,并迅速采取行动保护我们的用户。

我理解 “Equinusocio”扩展的作者的沮丧和强烈反应,我们也能理解。这很糟糕,但有时这样的事情也会发生。我们将澄清我们对混淆代码的政策,并将更新我们的扫描程序和调查流程,以减少再次发生类似事件的可能性。

这些扩展是安全的,已恢复供 VS Code 社区使用。


相關推薦

2022-10-17

mp; 2) — 520 万次下载 Bracket Pair Colorizer 及其继任者的安装量已超过 1100 万。鉴于此需求量,开发团队已在 VS Code core 中实现了 bracket pair colorizer,并声称这使其速度提高了 10.000 倍。可以通过启用以下设置来启用 Bracket pair colo

2025-05-16

izardLM-2,并宣称其能力接近 GPT-4,但仅一天后便遭到微软下架处理,原因是“未完成毒性测试”。尽管团队紧急补测并承诺重新发布,但原始模型已被社区快速传播和二次上传,微软难以控制。 这一事件也引发了开源圈强烈不

2023-06-08

# 开发,更快地编写你的项目 作为 C# Dev Kit 的一部分自动安装,IntelliCode for C# Dev Kit 扩展增强了 AI 辅助支持,在实用程度上超过了现有 C# 扩展中的基本 IntelliSense 代码补全。它带来了强大的 IntelliCode 功能,如整行补全和星标的

2022-06-17

6 月 16 日,微软项目经理 Tim Heuer 公布了 VSCode C# 扩展的路线图更新,新的路线图引入语言服务器协议(LSP) 作为 VSCode C# 扩展的基础通信机制,并计划创建一个新的“LSP Tools Host”组件作为新版 C# 扩展的基础,以引入更多

2025-05-17

al Studio 的数据: Visual Studio Marketplace 上有 25000 多个扩展可用 超过 100000 名开发人员贡献反馈、问题报告和功能创意 社区论坛中数十万个问答 每个季度更新平均修复 800 多个社区报告的问题 十年前,随着 Windows

2022-04-06

微软近日发布公告,表示已将 Visual Studio Code 的 Python 扩展中的 linting 功能独立拆分了出来,并形成了一个独立的 扩展,此次拆分的目的是为了提高性能和稳定性,并且不再要求在 Python 环境中安装这个工具,此外拆分后的功能

2022-10-21

的免费代码编辑器 VS Code 被封装成收费软件而出售。 从安装界面的文案来看,这款"Vscode"的价格设置策略可谓深谙消费者心理。先是写出“原价298”,然后再用醒目的颜色高亮突显“限时活动价69.7”。到这还没结束,最后弹窗

2025-05-21

源 AI 编辑器。 作为此计划的一部分,GitHub Copilot Chat 扩展中的代码将以 MIT 许可证开源,并逐步将其相关组件重构到 VS Code 核心中。 微软认为,大型语言模型的进步、AI 交互用户体验的普及、开源 AI 工具生态的兴起、对数据

2023-10-08

用 VS Code 过程中开发 C# 语言产品的效率。该套件兼容 C# 扩展,由语言服务器协议  (LSP) 主机提供支持,从而创建一个高性能、可扩展且灵活的工具环境,可轻松将新体验集成到 C# for VS Code 中。 经过 4 个多月的测试和打磨,

2023-04-02

看已经超越了 Sublime Text。正是有了丰富的扩展市场,在安装一些扩展后,开发者可以将 VS Code 从一个简单的文本编辑器转换为一个成熟的 IDE。 因此,这名开发者认为开源 SublimeText 是它与 VS Code 竞争的唯一途径。开发者可以获

2025-05-24

享内存并行和并发的特性。 TypeScript Native 可以通过 NPM 安装,也可以在 VS Code 中启用编辑器支持。该包中还包含 tsgo 命令行工具,类似于当前的 tsc。 由于该扩展仍处于早期开发阶段,因此它依赖于 VS Code 内置的 TypeScript 扩展

2022-10-08

OS 上下载使用。支持常见的脚本和编程语言,还可以通过安装扩展来获得更多语言和功能的支持。 近日微软发布了 1.72 版本,更新内容如下: 工具栏自定义:隐藏/显示工具栏操作 用户现在可以从工具栏上隐藏操作。右键

2021-11-09

支持)项目 C++ v143 构建工具现在可通过 Visual Studio 安装程序以及独立构建工具使用在调试器下运行时,新的热重载现在可用于本机 C++ 应用程序。它支持 MSBuild 和 CMake 项目。现在可以在 WSL2 上本地构建和调试,而无需建立 S

2023-01-11

rettier 伪装扩展,在不到 48 小时的时间在全世界范围内被安装了 1000 多次。VS Code 扩展以与用户相同的权限运行,因此如果安装恶意扩展,很可能会造成损害。 研究人员总结称,恶意 VSCode 扩展的威胁是真实存在的。过去可能