【安全资讯】微软因安全风险下架900万次下载的VSCode扩展

概要：

微软近日因安全风险下架了两款在Visual Studio Marketplace上极受欢迎的VSCode扩展——'Material Theme – Free'和'Material Theme Icons – Free'。这两款扩展总共被下载近900万次，用户现已收到VSCode的自动禁用警告。此事件引发了对扩展安全性的广泛关注，尤其是在网络安全领域。

主要内容：

这两款扩展的开发者Mattia Astorino（又名equinusocio）在VSCode市场上发布了多款扩展，总下载量超过1300万次。网络安全研究人员Amit Assaraf和Itay Kruk在对VSCode扩展进行扫描时发现了可疑代码，并将其报告给微软。微软随后确认了这些发现，并表示将这两款扩展从市场上移除，同时禁止了开发者的账号。

研究人员指出，恶意代码可能是在扩展更新时引入的，暗示可能存在供应链攻击或开发者账号被入侵的风险。根据他们的评估，主题文件应为静态JSON文件，而不应执行任何代码，因此其行为被标记为可疑。经过部分反混淆处理后，发现代码中包含多个用户名和密码的引用，尽管具体引用方式尚不明确。

Astorino对此回应称，问题源于一个过时的Sanity.io依赖，声称并未在扩展中发布任何有害内容。他表示，若微软能及时联系他以解决问题，移除过时依赖将是一个简单的修复。然而，微软的迅速行动导致了数百万用户的困扰，并引发了对扩展安全性的进一步审查。此事件突显了在软件开发中，依赖管理和安全审查的重要性。