9 月 2 日消息，安全公司 ReversingLabs 發(fā)文，透露微軟 VS Code 插件市場(chǎng)存在一項(xiàng)“鳩占鵲巢”式的邏輯漏洞，也就是黑客冒充已移除的插件，上傳同名的惡意插件，以欺騙不知情的用戶下載。實(shí)際上相應(yīng)漏洞此前已出現(xiàn)在 PyPI 等平臺(tái)，而目前 ReversingLabs 經(jīng)過測(cè)試，發(fā)現(xiàn) VS Code 市場(chǎng)實(shí)際上也存在這種漏洞。

ReversingLabs 舉例稱，該公司在 6 月時(shí)檢測(cè)到有黑客上傳一項(xiàng)名為 ahbanC.shiba 的惡意插件，其中內(nèi)含勒索軟件。經(jīng)研究，他們發(fā)現(xiàn)這款插件實(shí)際上是“冒名頂替”此前被移除的“ahban.shiba 插件”。

后續(xù)，該安全公司進(jìn)一步分析 VS Code 插件市場(chǎng)邏輯，發(fā)現(xiàn)當(dāng)開發(fā)者將某個(gè)插件移除（Remove）時(shí)，其他開發(fā)者就可以重新使用該插件的名稱發(fā)布新插件；但如果開發(fā)者選擇下架（Unpublish）插件，雖然相應(yīng)插件不再公開可見，但其他開發(fā)者便無法使用相同名稱上架新插件“鳩占鵲巢”。據(jù)此，安全公司強(qiáng)調(diào)插件開發(fā)者若計(jì)劃廢棄自己較受歡迎的插件時(shí)，應(yīng)當(dāng)選擇“下架”，避免給予黑客可乘之機(jī)。