包含大量加密 JS 代码，知名 VSCode 主题被微软紧急下架！

安全专家调查发现，这些看似无害的"主题"竟暗藏高度混淆的恶意代码，可能引发大规模开发者账户泄露危机。

供应链攻击疑云

网络安全研究员 Amit Assaraf 团队在例行扫描中发现异常：本应仅含静态 JSON 文件的主题扩展，其 release-notes.js 文件竟存在大量加密 JavaScript 代码。

经过部分反混淆后，代码中暴露出对 用户名、密码等敏感信息 的调用指令，但具体攻击路径尚未明确。

专家推测，这可能是通过 2023 年某次更新植入的供应链攻击，或开发者账号遭黑客劫持所致。

微软证实，涉事扩展的开发者 Mattia Astorino（ID: equinusocio） 名下 13 款插件总安装量超 1300 万，此次不仅下架所有相关产品，更直接封禁其开发者账号，并强制卸载全球用户端的现存插件。

这是 VS Marketplace 近三年来最大规模的安全清理行动。

开发者喊冤 vs 微软强硬

面对指控，Astorino 在 GitHub 上喊冤，他从未添加过任何有害代码，称问题源于 2016 年遗留的 Sanity.io 旧版依赖，该组件仅用于显示更新日志，强调"30 分钟即可修复漏洞"。

为自证清白，Astorino 随即发布无依赖项的"Fanny Themes"，但 48 小时内再遭下架。

他指责微软未提前沟通就全面封杀，并且禁用主题后还导致 VSCode 出现了循环启动，这个问题应完全由微软负责。

安全专家指出，主题类扩展本不该具备代码执行能力，此次事件暴露开源生态的致命弱点：

1. 开发者过度依赖第三方组件

2. 插件市场审核机制存在盲区

3. 用户对"美化工具"的安全意识薄弱

微软承诺将在 GitHub 公开完整技术分析报告。目前建议开发者立即检查并卸载以下高危扩展：

• equinusocio.moxer-theme

• equinusocio.vsc-material-theme

• equinusocio.vsc-material-theme-icons

• equinusocio.vsc-community-material-theme

• equinusocio.moxer-icons

最后

Material Theme Free 和 Material Theme Icons，有用过这两个主题的盆友么？

大家觉得谁的锅更大一些？