IT之家 9 月 2 日消息，安全公司 ReversingLabs 发文，透露微软 VS Code 插件市场存在一项“鸠占鹊巢”式的逻辑漏洞，也就是黑客冒充已移除的插件，上传同名的恶意插件，以欺骗不知情的用户下载。实际上相应漏洞此前已出现在 PyPI 等平台，而目前 ReversingLabs 经过测试，发现 VS Code 市场实际上也存在这种漏洞。

ReversingLabs 举例称，该公司在 6 月时检测到有黑客上传一项名为 ahbanC.shiba 的恶意插件，其中内含勒索软件。经研究，他们发现这款插件实际上是“冒名顶替”此前被移除的“ahban.shiba 插件”。

后续，该安全公司进一步分析 VS Code 插件市场逻辑，发现当开发者将某个插件移除（Remove）时，其他开发者就可以重新使用该插件的名称发布新插件；但如果开发者选择下架（Unpublish）插件，虽然相应插件不再公开可见，但其他开发者便无法使用相同名称上架新插件“鸠占鹊巢”。据此，安全公司强调插件开发者若计划废弃自己较受欢迎的插件时，应当选择“下架”，避免给予黑客可乘之机。