安全公司 ReversingLabs 发布报告，指出微软 VS Code 插件市场存在逻辑漏洞，黑客可借此上传与已移除插件同名的恶意插件，实现“鸠占鹊巢”。

研究人员发现，当某个插件被开发者移除（Remove）后，其名称可被其他开发者重新使用。黑客正利用这一机制，上传恶意插件欺骗用户下载。此前类似漏洞已在 PyPI 等平台出现。

ReversingLabs 举例称，今年 6 月检测到一个名为 ahbanC.shiba 的恶意插件，内含勒索软件，冒用了此前被移除的 ahban.shiba 插件名称。

分析显示，若开发者选择下架（Unpublish）插件，则其他开发者无法使用相同名称发布新插件。因此，安全公司建议开发者在废弃受欢迎的插件时应选择下架，而非移除，以防止名称被恶意利用。

免责声明：本文内容由开放的智能模型自动生成，仅供参考。