安全公司发现微软 VS Code 插件市场存在「鸠占鹊巢」漏洞，黑客可冒充已被移除的插件上传同名恶意插件。此前已有类似漏洞出现在 PyPI 等平台。研究人员举例称，黑客曾上传包含勒索软件的「ahbanC.shiba」插件，冒充被移除的「ahban.shiba」。分析显示，插件被「移除」后名称可被他人复用，但若选择「下架」，则他人无法使用相同名称发布新插件。安全公司建议开发者废弃插件时优先选择「下架」，防止名称被恶意利用。