VSCode 知名插件被投毒!下载量近 1000万次!速查!
<p>谁能想到,<strong>VSCode</strong> 一款装了快 <strong><code><span leaf="">1000</span></code></strong> 万次的主题插件居然被爆暗藏 <strong>“毒瘤”</strong>!</p><p>这事儿就像在开发者社区里扔了颗炸弹,瞬间炸开了锅,咱必须好好唠唠。</p>
<h2>热门主题插件 “爆雷”</h2>
<p><strong>VSCode</strong> 凭啥受大家追捧?不就是那些五花八门的<strong>扩展</strong>、<strong>主题</strong>能让咱写代码更顺手。</p>
<p>可谁能想到,一款<strong>火得一塌糊涂</strong>的主题 —— <code>Material Theme Free</code> 和 <code>Material Theme Icons</code>,安装量都快破千万了,居然被查出带恶意代码。</p>
<p><img src="https://www.3bbs.cn/index-diy/img.php?url=https://mmbiz.qpic.cn/sz_mmbiz_png/kzFgl6ibibNKpicmAdVu86ibEep42KEkjZt1ichOMkgueiaWN8JwCrZhZTs3reW1S9MJ719AxibuSZ85LibRicicAuIX64zQ/640?wx_fmt=png&from=appmsg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" alt="图片" /></p>
<p><img src="https://www.3bbs.cn/index-diy/img.php?url=https://mmbiz.qpic.cn/sz_mmbiz_png/kzFgl6ibibNKpicmAdVu86ibEep42KEkjZt1GdzpUJyZ9odI5durnwfw8UdjyWLv3xpfX7WawvJocBxva6YmL3zXzA/640?wx_fmt=png&from=appmsg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" alt="图片" /></p>
<p>这就好比你在用的顺手工具,突然发现有点问题,细思极恐啊!这些恶意代码可不是吃素的,一旦发作,偷你点数据、改你段代码,甚至往你系统里塞点乱七八糟的东西,那都是分分钟的事儿,开发者们的心血说不定就毁于一旦。</p>
<h2>微软“火速”出手,“误伤”用户</h2>
<p>消息一出,微软坐不住了,火速从 <strong>Visual Studio Marketplace</strong> 把这俩主题扩展给删了,还远程把所有装了它们的 <strong>VSCode</strong> 给禁用了。</p>
<p>这波操作看似雷厉风行,实则 <strong>“杀敌一千,自损八百”</strong>。</p>
<p>不少开发者直接懵圈,好好的写着代码呢,编辑器突然就抽风,循环启动,在 <strong>VSCode</strong> 中会收到自动禁用提示。</p>
<p><img src="https://www.3bbs.cn/index-diy/img.php?url=https://mmbiz.qpic.cn/sz_mmbiz_png/kzFgl6ibibNKpicmAdVu86ibEep42KEkjZt1hr7dQ6reZJOGovChTKc9P0ezwMI2AaQp1gEbqTkPVricKU2omOxTQ2w/640?wx_fmt=png&from=appmsg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" alt="图片" /></p>
<p>项目做到一半,工具突然罢工,这感觉就像厨师炒菜正起锅,锅柄突然断了,让人欲哭无泪。</p>
<h2>开发者喊冤,真相如何?</h2>
<p>网络安全研究员 <strong>Amit Assaraf</strong> 和 <strong>Itay Kruk</strong> 发现了这些扩展程序中的可疑代码,并向微软报告了他们的发现。</p>
<p><img src="https://www.3bbs.cn/index-diy/img.php?url=https://mmbiz.qpic.cn/sz_mmbiz_png/kzFgl6ibibNKpicmAdVu86ibEep42KEkjZt1JenbqtvTqB9WT3qlQjkzw5w9gE2ic8cia7EQ1mtpiagAx3VsocYEYdpqg/640?wx_fmt=png&from=appmsg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" alt="图片" /></p>
<p>并且研究人员表示,主题文件应该是静态的 JSON 文件,不应该执行任何代码,而这两款扩展主题中的 <strong>“release-notes.js”</strong> 文件包含高度混淆的 JavaScript 代码,这在开源软件中通常是一个危险信号。</p>
<p><img src="https://www.3bbs.cn/index-diy/img.php?url=https://mmbiz.qpic.cn/sz_mmbiz_jpg/kzFgl6ibibNKpicmAdVu86ibEep42KEkjZt1zPqn8e3C3GsTlHYiasBRa5icWbfiaKJCw0nUVu46Dibgw69j3eSTGzKic8w/640?wx_fmt=jpeg&from=appmsg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" alt="图片" /></p>
<p>在情况明朗之前,微软建议用户从所有项目中移除 <code>equinusocio.moxer-theme</code>、<code>equinusocio.vsc-material-theme</code>、<code>equinusocio.vsc-material-theme-icons</code>、<code>equinusocio.vsc-community-material-theme</code> 和 <code>equinusocio.moxer-icons</code> 这几个扩展程序。</p>
<p>这边微软忙着 <strong>“灭火”</strong>,那边开发者 <strong>Mattia Astorino</strong> 急得跳脚。</p>
<p>他连发声明,声称唯一的问题在于一个自 <strong>2016</strong> 年起未更新的 <strong>Sanity.io</strong> 依赖,这一依赖可能已被攻破,但如果微软提前通知,他只需 <strong>30 秒</strong>即可修复。然而,微软未与其联系,直接移除扩展,这一举动引发了社区的争议</p>
<h2>平台审核 “漏洞百出”</h2>
<p>这事儿一出,<strong>VSCode</strong> 扩展生态的 “马蜂窝” 算是被捅了。平台审核机制的漏洞大得能跑马,这么大规模、高风险的恶意代码居然能堂而皇之地混进来,审核团队是干啥吃的?这无疑给广大开发者浇了盆冷水,以后还敢放心用扩展吗?</p>
<p>在这风口浪尖上,用户们可别傻站着看热闹,赶紧<strong>自查</strong>才是王道。</p>
<p>打开 <strong>VSCode</strong>,直奔扩展列表,瞅见 <strong>Material Theme Free</strong> 和 <strong>Material Theme Icons</strong>,别犹豫,直接禁用、卸载。</p>
<p>要是最近代码项目有点不对劲,莫名多出些奇怪代码,那八成是 “中招” 了,赶紧备份数据,重置编辑器环境。</p>
<p>还有,关联的账号密码也赶紧换一换,别等人家把 “家底” 都掏空了才反应过来。</p>
页:
[1]