PANews 4月21日消息,根據慢霧科技首席資訊安全官23pds轉發X平台用戶@mrdotparasyte的帖子,發現一款名為JuanFranBlanco.solidit-vscode的可疑VSCode插件。該插件其下載量疑似透過不正當手段刷取,插件資訊也令人生疑,且插件Identifier中的「solidit」明顯為拼字錯誤。該插件已存在兩三天,目前尚不清楚有多少開發者不慎「中招」。目前,針對開發者的供應鏈攻擊現象愈發氾濫,特別是未經官方審核的VSCode插件、npm包等,已成為此類攻擊的重災區。在此提醒廣大開發者,在安裝第三方外掛程式或套件時務必提高警惕,仔細甄別。