微软已从 Visual Studio 阛阓中移除了两个热点的 VSCode 彭胀规律" Material Theme - Free "和" Material Theme Icons - Free "欧美BT，原因是发现它们包含坏心代码。

这两个彭胀规律特殊受接待，总姜被下载了近 900 万次，咫尺 VSCode 用户会收到安全提醒，教导这两个彭胀规律已被自动禁用。

在近期发布的一份论说中，沟通东说念主员称他们在这些彭胀规律中发现了可疑代码，并将他们的发现论说给了微软。

微软职工在 YCombinator 的 Hacker News 上发帖称："微软已将这两个彭胀从 VS Code 阛阓移除，并封禁了建树者。"

社区中的别称成员对该彭胀规律进行了深远的安全分析，发现了多个标明存在坏情意图的危境信号，微软的安全沟通东说念主员证实了这些说法，并发现了更多可疑代码。

VSCode 自动删除材料主题彭胀

忘忧草官网在线播放

沟通东说念主员暗意，他们觉得坏心代码是在彭胀的更新中引入的，这标明要么是通过依赖项进行的供应链错误，要么是建树者的账户遭到了碎裂。

扫描仪对材料主题的风险评估

此外，他们讲明说，主题应该是静态 JSON 文献，不践诺任何代码，是以这种行径在他们的评估中被记号为可疑。此说法也获得了证实，主题中的" release-notes.js "文献包含严重羞辱的 JavaScript，这在开源软件中是一个危境信号。

在 release-notes.js 文献中严重羞辱了 JavaScript

代码的部剖释羞辱显现了多半对用户名和密码的援用。微软暗意，他们将很快在 VSMarketplace GitHub 存储库中发布关系该彭胀和任何检测到的坏心步履的更多细节。

彭胀的建树东说念主员修起了对于彭胀是坏心的担忧，指出这些问题是由过期的 Sanity 引起的。IO 依赖项"看起来受到了毁伤"。

在情况废除并细目彭胀是否坏心之前，提出从总计技俩中删除以下彭胀：

·equinusocio.moxer-theme

·equinusocio.vsc-material-theme

·equinusocio.vsc-material-theme-icons

·equinusocio.vsc-community-material-theme

·equinusocio.moxer-icons

建树东说念主员其后发布了一个他们宣称是"迷漫重写的彭胀"，莫得任何名为" Fanny Themes "的 VSCode 阛阓依赖欧美BT，微软随后将其删除。