在误判并下架“Material Theme - Free”和“Material Theme Icons - Free”扩展后,微软已在 Visual Studio Marketplace 上重新上架了这些扩展。
这两个 VSCode 扩展的安装量超过 900 万次,由于被认为存在安全风险于 2 月底从 VSCode 市场中下架,其发布者 Mattia Astorino(又名“equinusocio”)也被禁止使用该平台。
一名微软员工彼时表示:“社区的一名成员对该扩展进行了深入的安全分析,发现了多个表明恶意意图的危险信号,并将此情况报告给了我们。微软的安全研究人员证实了这一说法,并发现了其他可疑代码。”
研究人员 Amit Assaraf 和 Itay Kruk 部署了 AI 扫描器,寻找 VSCode 上的可疑提交内容,并首先将其标记为潜在恶意软件。研究人员向 BleepingComputer 表示,他们对 Material Theme 进行高风险评估是因为检测到主题的“release-notes.js”文件中存在代码执行功能,并且该文件也被严重混淆。
Astorino 立即对这些指控以及将其扩展从 VSCode 市场中删除的行为提出异议,声称问题来自于自 2016 年以来用于显示 Sanity Headless CMS 发行说明的过时的 sanity.io 依赖项。
并表示,如果微软联系他们,他们可以在几秒钟内从主题中删除这种依赖关系;但事实是,他们发现自己在没有任何警告的情况下被封禁。
“没有任何恶意行为。自从我专注于新版本以来,除了混淆过程之外,我已经好几年没有更新过该扩展程序了。唯一的问题是最终出现在分布式 index.js(指 Material Theme Icons)中的构建脚本。该脚本用于从闭源存储库中提取 SVG 图标后生成 JSON 文件——我很久以前就删除了它。关于 Material Theme,混淆过程无意中包含了 sanity.io SDK 客户端,其中包含一些引用密码或用户名的字符串(身份验证客户端)。然而,这些并没有危害——只是很久以前构建过程存在缺陷的结果。”
微软的 Scott Hanselman 日前在 GitHub issue 上向 Astorino 进行了道歉:
误报很糟糕,发生时很痛苦。
Material Theme 和 Material Theme Icons(Equinusocio)的发布者账户被错误标记,现在已恢复。出于安全考虑,我们行动太快,结果搞砸了。
我们删除这些主题是因为它们触发了微软内部的多个恶意软件检测指标,而我们的调查得出了错误的结论。我们非常重视 VS Code 生态系统的安全性,并迅速采取行动保护我们的用户。
我理解 “Equinusocio”扩展的作者的沮丧和强烈反应,我们也能理解。这很糟糕,但有时这样的事情也会发生。我们将澄清我们对混淆代码的政策,并将更新我们的扫描程序和调查流程,以减少再次发生类似事件的可能性。
这些扩展是安全的,已恢复供 VS Code 社区使用。