VSCode主题插件被曝含恶意代码，微软紧急下架处理当地时间2月26日，微软确认VSCode流行主题扩展“Material Theme”包含潜在恶意代码，并已从VSMarketplace下架，同时远程卸载所有受影响实例

Wed, 26 Feb 2025 18:00:55 GMT

VSCode主题插件被曝含恶意代码，微软紧急下架处理

当地时间2月26日，微软确认VSCode流行主题扩展“Material Theme”包含潜在恶意代码，并已从VSMarketplace下架，同时远程卸载所有受影响实例。此次事件由社区成员首先发现，并通过安全分析向微软报告，随后微软安全研究团队确认问题并采取措施。微软强调，此次移除并非基于版权或许可问题，而是出于安全考虑。

事件引发了对VSMarketplace安全性的广泛质疑。许多开发者批评微软过度依赖社区发现恶意扩展，而自身审核机制薄弱，且VSCode扩展缺乏沙盒机制，导致插件可在用户系统上不受限制地运行，构成重大安全隐患。此外，该扩展原作者曾修改许可协议，并试图起诉使用旧版Apache2.0许可代码的开发者，引发法律争议。该插件随后以“Fanny Theme”名义重新上传，加剧了社区的不安。然而，微软表示短期内无意为扩展引入权限模型。

近年来，VSCode恶意插件层出不穷，类似事件已多次发生，微软对平台安全问题的长期不作为饱受诟病。

#VSCode #安全 #开源 #微软

VSCode | Memordust

VSCode主题插件被曝含恶意代码，微软紧急下架处理当地时间2月26日，微软确认VSCode流行主题扩展“Material Theme”包含潜在恶意代码，并已从VSMarketplace下架，同时远程卸载所有受影响实例