9 月 2 日消息，安全公司 ReversingLabs 發文，透露微軟 VS Code 插件市場存在一項“鳩占鵲巢”式的邏輯漏洞，也就是黑客冒充已移除的插件，上傳同名的惡意插件，以欺騙不知情的用戶下載。實際上相應漏洞此前已出現在 PyPI 等平臺，而目前 ReversingLabs 經過測試，發現 VS Code 市場實際上也存在這種漏洞。

ReversingLabs 舉例稱，該公司在 6 月時檢測到有黑客上傳一項名為 ahbanC.shiba 的惡意插件，其中內含勒索軟件。經研究，他們發現這款插件實際上是“冒名頂替”此前被移除的“ahban.shiba 插件”。

后續，該安全公司進一步分析 VS Code 插件市場邏輯，發現當開發者將某個插件移除（Remove）時，其他開發者就可以重新使用該插件的名稱發布新插件；但如果開發者選擇下架（Unpublish）插件，雖然相應插件不再公開可見，但其他開發者便無法使用相同名稱上架新插件“鳩占鵲巢”。據此，安全公司強調插件開發者若計劃廢棄自己較受歡迎的插件時，應當選擇“下架”，避免給予黑客可乘之機。