目前微软已经从 Visual Studio Marketplace 中删除非常流行的主题扩展 Material Theme Free 和 Material Theme Icons,微软称这些主题扩展包罗恶意代码。
统计显示这些扩展程序的安装总次数近 900 万次,在微软实施删除后现在已安装这些扩展的开辟者也会收到主动禁用警报,提醒开辟者不要再启用。
发布这些扩展程序的是知名开辟者 Mattia Astorino,其在 Visual Studio Marketplace 发布多款扩展程序,总安装量超过 1,300 万次。
发现扩展程序包罗恶意代码的则是网络安全研究人员,这些研究人员发布报告指出多个扩展程序包罗恶意代码,随后微软从市场删除了扩展并封禁开辟者账号。
值得留意的是微软安全研究人员也同样对这些扩展举行了分析,分析佐证了最初发现问题的安全研究人员的报告,微软确实发现了可疑代码。
研究人员认为这些恶意代码要么是在扩展程序更新中添加的,要么就是扩展程序依赖项遭到感染也就是供应链攻击,当然还可能是开辟者账号遭到入侵。
然而开辟者 Mattia Astorino 对这些说法并不认同,开辟者称这可能是过时的 Sanity.io 依赖项引起的,他本人从未在扩展程序中添加任何恶意代码。
开辟者也抱怨微软的处理方式,删除这个依赖项只需要 30 秒,但微软在执行利用前没有与开辟者举行任何沟通,而禁用 Material Theme 后还导致 Visual Studio Code 出现了循环启动,这个问题应完全由微软负责。
不过目前具体情况另有待说明,基于安全考虑建议用户临时删除这些可能包罗恶意代码的扩展程序,后续假如微软确认属于误报那用户再重新安装。
equinusocio.moxer-theme
equinusocio.vsc-material-theme
equinusocio.vsc-material-theme-icons
equinusocio.vsc-community-material-theme
equinusocio.moxer-icons
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
