微软紧急下架！900 万次下载的知名 VSCode 主题“有毒”

推荐关注

近日，微软从 VS Marketplace 移除了两款累计下载量达 900 万的热门 VSCode 扩展：Material Theme Free 和 Material Theme Icons。

安全专家调查发现，这些看似无害的"主题"竟暗藏高度混淆的恶意代码，可能引发大规模开发者账户泄露危机。

供应链攻击疑云

网络安全研究员 Amit Assaraf 团队在例行扫描中发现异常：本应仅含静态 JSON 文件的主题扩展，其release-notes.js文件竟存在大量加密 JavaScript 代码。

经过部分反混淆后，代码中暴露出对用户名、密码等敏感信息的调用指令，但具体攻击路径尚未明确。

专家推测，这可能是通过 2023 年某次更新植入的供应链攻击，或开发者账号遭黑客劫持所致。

微软证实，涉事扩展的开发者 Mattia Astorino（ID: equinusocio）名下 13 款插件总安装量超 1300 万，此次不仅下架所有相关产品，更直接封禁其开发者账号，并强制卸载全球用户端的现存插件。

这是 VS Marketplace 近三年来最大规模的安全清理行动。

开发者喊冤 vs 微软强硬

面对指控，Astorino 在 GitHub 上喊冤，他从未添加过任何有害代码，称问题源于 2016 年遗留的 Sanity.io 旧版依赖，该组件仅用于显示更新日志，强调"30 分钟即可修复漏洞"。

为自证清白，Astorino 随即发布无依赖项的"Fanny Themes"，但 48 小时内再遭下架。

他指责微软未提前沟通就全面封杀，并且禁用主题后还导致 VSCode 出现了循环启动，这个问题应完全由微软负责。

安全专家指出，主题类扩展本不该具备代码执行能力，此次事件暴露开源生态的致命弱点：

开发者过度依赖第三方组件

插件市场审核机制存在盲区

用户对"美化工具"的安全意识薄弱

微软承诺将在 GitHub 公开完整技术分析报告。目前建议开发者立即检查并卸载以下高危扩展：

equinusocio.moxer-theme

equinusocio.vsc-material-theme

equinusocio.vsc-material-theme-icons

equinusocio.vsc-community-material-theme

equinusocio.moxer-icons

最后

Material Theme Free 和 Material Theme Icons，有用过这两个主题的盆友么？

大家觉得谁的锅更大一些？