今天看到两篇关于同主题的文章,还挺有意思的,给大家分享下。
https://medium.com/@amitassaraf/the-story-of-extensiontotal-how-we-hacked-the-vscode-marketplace-5c6e66a0e9d7
大概就是几个人故意发布了一个含有恶意代码的拓展,然而他们发现发布过程的审核非常潦草,加之后续拓展被显示到了推荐位,有众多用户中招,甚至包含一家市值 4830 亿美元的上市公司的设备。
大家以后下软件、拓展,甚至联系官方支持的时候,一定要多几个心眼,认证了不等于一定就是正主。
1
0o0O0o0O0o 173 天前 via iPhone
在 /t/1005995 单方面表达过我这种普通人的自保方式,确实见到一部分人在执行一个 exe 、msi 文件之前可能会很慎重地判断可不可信,但对于安装各类软件的扩展就会放松警惕
|
2
cnt2ex 173 天前
吓得我立马看了一下自己的 vscode 的插件,还好都用的微软自家出的玩意。
|
3
augustheart 172 天前
讲道理就是能进入到推荐位,那么问题就在于 vsc 身上。
|
4
oIMOo OP @augustheart #3 是的,审核也很不负责……
|