安全公司 ReversingLabs 发文，透露微软 VS Code 插件市场存在一项“鸠占鹊巢”式的逻辑漏洞，也就是黑客冒充已移除的插件，上传同名的恶意插件，以欺骗不知情的用户下载。实际上相应漏洞此前已出现在 PyPI 等平台，ReversingLabs 举例称，该公司在 6 月时检测到有黑客上传一项名为 ahbanC.shiba 的恶意插件，其中内含勒索软件。经研究，他们发现这款插件实际上是“冒名顶替”此前被移除的“ahban.shiba 插件”。

　　后续，该安全公司进一步分析 VS Code 插件市场逻辑，发现当开发者将某个插件移除时，其他开发者就可以重新使用该插件的名称发布新插件；