安全专家查询发现，这些看似无害的主题竟隐藏高度混杂的恶意代码，或许引发大规模开发者账户走漏危机。

  网络安全研究员 Amit Assaraf 团队在例行扫描中发现异常：本应仅含静态 JSON 文件的主题扩展，其release-notes.js文件竟存在很多加密 Java 代码。

  经过部分反混杂后，代码中露出出对用户名、暗码等灵敏信息的调用指令，但详细进犯途径没有清晰。

  专家估测，这或许是经过 2023 年某次更新植入的供应链进犯，或开发者账号遭黑客绑架所造成的。

  微软证明，涉事扩展的开发者Mattia Astorino（ID: equinusocio）名下 13 款插件总装置量超 1300 万，此次不只下架一切相关这类的产品，更直接封禁其开发者账号，并强制卸载全球用户端的现存插件。

  面临指控，Astorino 在 GitHub 上喊冤，他从未添加过任何有害代码，称问题源于 2016 年留传的Sanity.io旧版依靠，该组件仅用于显现更新日志，着重30 分钟即可修正缝隙。

  他责备微软未提早交流就全面封杀，而且禁用主题后还导致 VSCode 呈现了循环发动，这样的一个问题应完全由微软担任。

  安全有经历的人指出，主题类扩展本不应具有代码履行才能，此次事情露出开源生态的丧命缺点：

  微软许诺将在 GitHub 揭露完好技能剖析陈述。现在主张开发者当即查看并卸载以下高危扩展：

上一篇:《当老公面被耍了》973

下一篇:山钢产品摘得行业“奥斯卡”奖