VSCode 知名插件被投毒！下载量近 1000万次！速查！

谁能想到，VSCode 一款装了快 <span leaf="">1000</span> 万次的主题插件居然被爆暗藏 “毒瘤”！

这事儿就像在开发者社区里扔了颗炸弹，瞬间炸开了锅，咱必须好好唠唠。

热门主题插件 “爆雷”

VSCode 凭啥受大家追捧？不就是那些五花八门的扩展、主题能让咱写代码更顺手。

可谁能想到，一款火得一塌糊涂的主题 —— Material Theme Free 和 Material Theme Icons，安装量都快破千万了，居然被查出带恶意代码。

这就好比你在用的顺手工具，突然发现有点问题，细思极恐啊！这些恶意代码可不是吃素的，一旦发作，偷你点数据、改你段代码，甚至往你系统里塞点乱七八糟的东西，那都是分分钟的事儿，开发者们的心血说不定就毁于一旦。

微软“火速”出手，“误伤”用户

消息一出，微软坐不住了，火速从 Visual Studio Marketplace 把这俩主题扩展给删了，还远程把所有装了它们的 VSCode 给禁用了。

这波操作看似雷厉风行，实则 “杀敌一千，自损八百”。

不少开发者直接懵圈，好好的写着代码呢，编辑器突然就抽风，循环启动，在 VSCode 中会收到自动禁用提示。

项目做到一半，工具突然罢工，这感觉就像厨师炒菜正起锅，锅柄突然断了，让人欲哭无泪。

开发者喊冤，真相如何？

网络安全研究员 Amit Assaraf 和 Itay Kruk 发现了这些扩展程序中的可疑代码，并向微软报告了他们的发现。

并且研究人员表示，主题文件应该是静态的 JSON 文件，不应该执行任何代码，而这两款扩展主题中的 “release-notes.js” 文件包含高度混淆的 JavaScript 代码，这在开源软件中通常是一个危险信号。

在情况明朗之前，微软建议用户从所有项目中移除 equinusocio.moxer-theme、equinusocio.vsc-material-theme、equinusocio.vsc-material-theme-icons、equinusocio.vsc-community-material-theme 和 equinusocio.moxer-icons 这几个扩展程序。

这边微软忙着 “灭火”，那边开发者 Mattia Astorino 急得跳脚。

他连发声明，声称唯一的问题在于一个自 2016 年起未更新的 Sanity.io 依赖，这一依赖可能已被攻破，但如果微软提前通知，他只需 30 秒即可修复。然而，微软未与其联系，直接移除扩展，这一举动引发了社区的争议

平台审核 “漏洞百出”

这事儿一出，VSCode 扩展生态的 “马蜂窝” 算是被捅了。平台审核机制的漏洞大得能跑马，这么大规模、高风险的恶意代码居然能堂而皇之地混进来，审核团队是干啥吃的？这无疑给广大开发者浇了盆冷水，以后还敢放心用扩展吗？

在这风口浪尖上，用户们可别傻站着看热闹，赶紧自查才是王道。

打开 VSCode，直奔扩展列表，瞅见 Material Theme Free 和 Material Theme Icons，别犹豫，直接禁用、卸载。

要是最近代码项目有点不对劲，莫名多出些奇怪代码，那八成是 “中招” 了，赶紧备份数据，重置编辑器环境。

还有，关联的账号密码也赶紧换一换，别等人家把 “家底” 都掏空了才反应过来。