微软VS Code插件平台曝命名漏洞，存在恶意插件冒名风险

9月2日消息，安全研究公司ReversingLabs近日披露，微软的VS Code插件平台存在一个严重的命名漏洞，可能导致用户在不知情中下载恶意插件。该漏洞的核心在于，一些原本被开发者移除的插件名称，可能被黑客重新注册并上传内容恶意的同名插件，形成“冒名顶替”的安全风险。

研究人员指出，这种漏洞机制此前已在一些软件包平台如PyPI上出现过。此次经过深入测试，ReversingLabs确认VS Code插件市场同样存在类似问题。

具体案例显示，今年6月，该公司发现有一款名为“ahbanC.shiba”的恶意插件被上传到VS Code平台。进一步调查发现，这个插件疑似模仿了一个此前被删除的名为“ahban.shiba”的合法插件，且其内容中包含勒索软件。

安全研究人员分析指出，VS Code平台目前允许开发者将插件“移除”或“下架”。“移除”操作会使插件从市场上消失，但其名称仍可被其他开发者重新使用；而“下架”则会将插件从公开列表中隐藏，同时保留名称独占权，防止他人再次使用。

基于此，ReversingLabs建议广大插件开发者，若未来有意停用一款较受欢迎的插件，应优先选择“下架”操作，以避免名称被恶意利用，保障用户安全。