微软已从 Visual Studio 市场中移除了两个热门的 VSCode 扩展程序 "Material Theme - Free" 和 "Material Theme Icons - Free"，原因是发现它们包含恶意代码。

这两个扩展程序非常受欢迎，总共被下载了近 900 万次，现在 VSCode 用户会收到安全提醒，提示这两个扩展程序已被自动禁用。

在近期发布的一份报告中，研究人员称他们在这些扩展程序中发现了可疑代码，并将他们的发现报告给了微软。

微软员工在 YCombinator 的 Hacker News 上发帖称：" 微软已将这两个扩展从 VS Code 市场移除，并封禁了开发者。"

社区中的一名成员对该扩展程序进行了深入的安全分析，发现了多个表明存在恶意意图的危险信号，微软的安全研究人员确认了这些说法，并发现了更多可疑代码。

VSCode 自动删除材料主题扩展

研究人员表示，他们认为恶意代码是在扩展的更新中引入的，这表明要么是通过依赖项进行的供应链攻击，要么是开发者的账户遭到了破坏。

扫描仪对材料主题的风险评估

此外，他们解释说，主题应该是静态 JSON 文件，不执行任何代码，所以这种行为在他们的评估中被标记为可疑。此说法也得到了证实，主题中的 "release-notes.js" 文件包含严重混淆的 JavaScript，这在开源软件中是一个危险信号。

在 release-notes.js 文件中严重混淆了 JavaScript

代码的部分解混淆显示了大量对用户名和密码的引用。微软表示，他们将很快在 VSMarketplace GitHub 存储库中发布有关该扩展和任何检测到的恶意活动的更多细节。

扩展的开发人员回应了关于扩展是恶意的担忧，指出这些问题是由过时的 Sanity 引起的。IO 依赖项 " 看起来受到了损害 "。

在情况清除并确定扩展是否恶意之前，建议从所有项目中删除以下扩展：

·equinusocio.moxer-theme

·equinusocio.vsc-material-theme

·equinusocio.vsc-material-theme-icons

·equinusocio.vsc-community-material-theme

·equinusocio.moxer-icons

开发人员后来发布了一个他们声称是 " 完全重写的扩展 "，没有任何名为 "Fanny Themes" 的 VSCode 市场依赖，微软随后将其删除。