微软突袭！两款热门 VS Code 扩展突然消失，900 万用户陷入困境

编程世界震撼！900万用户惊呼：热门VS Code扩展何去何从？

　　 2月27日消息，科技媒体bleepingcomputer于昨日（2月26日）发布文章，指出微软发现“MaterialTheme-Free”和“MaterialThemeIcons-Free”两款VSCode扩展程序可能包含恶意代码，目前这两款流行的扩展程序已被从VisualStudioMarketplace下架。

　　 注：这两款广受好评的扩展程序累计下载量接近900万次。用户在VSCode中使用它们时，会遇到自动禁用的通知。

　　 安全问题洞察

　　 网络安全研究员 Amit Assaraf 和 Itay Kruk 发现了这些扩展程序中的可疑代码，并向微软报告了他们的发现。

　　 研究人员指出，主题文件应当是静态的JSON文件，不应包含任何可执行代码。然而，在这两个扩展主题里，“release-notes.js”文件中包含了高度混淆的JavaScript代码，这在开源软件中通常是值得关注的问题。

　　 微软的安全团队验证了这一发现，并进一步检测到其他异常代码，因此从VSCode市场中移除了这两款扩展程序，并关闭了相关开发者的账户。

　　 微软正在深入调查这两款扩展程序的恶意行为，并承诺会在VS Marketplace GitHub仓库中尽快发布更多的详细信息。

　　 在情况尚未完全明朗之际，我建议各位用户暂时先从所有项目中移除 equinusocio.moxer-theme、equinusocio.vsc-material-theme、equinusocio.vsc-material-theme-icons、equinusocio.vsc-community-material-theme 和 equinusocio.moxer-icons 这几个扩展程序。最近这些扩展程序似乎引发了一些潜在的问题，尽管具体影响还有待进一步确认。考虑到安全性和稳定性，采取预防措施避免可能的风险不失为明智之举。同时，也期待开发者能尽快给出明确的解释或解决方案，以便用户能够安心使用这些实用的工具。

　　 开发者回应

　　 MattiaAstorino，又名equinusocio，是一位在VSCode市场上非常活跃的开发者。他发布的多个扩展程序累计安装量已突破1300万次。这不仅反映了他在技术上的卓越贡献，也显示出广大用户对他的信任和支持。这些数字背后，是他不懈的努力和对开源社区的深刻理解。这样的成就不仅是对他个人技能的认可，也为其他开发者树立了一个值得学习的榜样。

　　 Astorino回应称，问题是由过时的Sanity.io依赖项导致的，“看起来好像是受到了攻击”。

　　 他表示，MaterialTheme中从未发布过任何有害内容。事后复盘表明，这只是一个由于使用了自2016年以来就存在的问题所导致的技术故障。具体来说，是因为使用了过时的sanity.io依赖项，从而导致了从Sanity headless CMS获取的发布说明出现问题。他指出，微软在未与其进行沟通的情况下，便下架了所有的相关扩展程序，这一举动影响到了数百万用户的正常使用。 这一事件反映出，在软件更新和维护过程中，跨平台的兼容性和依赖管理显得尤为重要。尤其是在依赖第三方服务时，及时更新和审查这些依赖项可以有效避免类似的问题发生。同时，企业在处理此类事件时，与开发者以及用户之间的沟通也至关重要。未经事先通知的行动可能会加剧用户的困惑和不满，反而造成更大的负面影响。因此，建立一个有效的反馈机制和透明的信息披露渠道，对于构建信任和确保系统的平稳运行都具有重要意义。