微软已从 Visual Studio 市聚积移除了两个热点的 VSCode 膨胀才智" Material Theme - Free "和" Material Theme Icons - Free "妖媚婷儿 户外，原因是发现它们包含坏心代码。

这两个膨胀才智十分受接待，总姜被下载了近 900 万次，当今 VSCode 用户会收到安全提醒，教唆这两个膨胀才智已被自动禁用。

在近期发布的一份敷陈中，商讨东说念主员称他们在这些膨胀才智中发现了可疑代码，并将他们的发现敷陈给了微软。

微软职工在 YCombinator 的 Hacker News 上发帖称："微软已将这两个膨胀从 VS Code 市集移除，并封禁了配置者。"

社区中的又名成员对该膨胀才智进行了真切的安全分析，发现了多个标明存在坏情意图的危境信号，微软的安全商讨东说念主员证明了这些说法，并发现了更多可疑代码。

VSCode 自动删除材料主题膨胀

商讨东说念主员暗示，他们合计坏心代码是在膨胀的更新中引入的，这标明要么是通过依赖项进行的供应链漏洞，要么是配置者的账户遭到了结巴。

扫描仪对材料主题的风险评估

此外，他们发挥注解说，主题应该是静态 JSON 文献，不推论任何代码，是以这种手脚在他们的评估中被标识为可疑。此说法也获得了证实，主题中的" release-notes.js "文献包含严重污染的 JavaScript，这在开源软件中是一个危境信号。

在 release-notes.js 文献中严重污染了 JavaScript

代码的部领会污染闪现了大批对用户名和密码的援用。微软暗示，他们将很快在 VSMarketplace GitHub 存储库中发布相干该膨胀和任何检测到的坏心行径的更多细节。

膨胀的配置东说念主员回话了对于膨胀是坏心的担忧，指出这些问题是由逾期的 Sanity 引起的。IO 依赖项"看起来受到了挫伤"。

在情况撤消并细目膨胀是否坏心之前，提议从系数表情中删除以下膨胀：

·equinusocio.moxer-theme

·equinusocio.vsc-material-theme

·equinusocio.vsc-material-theme-icons

·equinusocio.vsc-community-material-theme

·equinusocio.moxer-icons

配置东说念主员自后发布了一个他们宣称是"全齐重写的膨胀"妖媚婷儿 户外，莫得任何名为" Fanny Themes "的 VSCode 市集依赖，微软随后将其删除。