本文针对Visual Studio Code（VS Code）扩展市场中的安全漏洞进行了系统研究。研究者首先识别了VS Code扩展中可能存在的四种不可信输入源和三种代码目标，这些可被用于代码注入和文件完整性攻击。基于此，他们利用CodeQL设计了污点分析规则，对包含代码的25402个扩展进行了生态级分析。结果显示，虽然漏洞并不普遍，但它们确实存在并影响了数百万用户。具体而言，研究者发现了21个扩展存在已验证的概念验证代码注入漏洞，总计影响超过600万次安装。此外，他们还揭示了Node.js生态系统对VS Code扩展的影响：13655个扩展每个都有超过100个npm传递依赖，而9710个扩展依赖于存在严重级别建议的易受攻击的npm包。该研究强调了IDE扩展安全性需要更多关注。