我真心认为这个领域的每个人都应该立即切换到使用 Vim。朝鲜开始滥用 VS Code 钩子，这些钩子在你打开文件夹时会在后台 _自动_ 运行。信任仓库后，根本不需要用户交互（信任这一部分在这里很重要）。是的，再读一遍。零。交互。需要。 所以发生的事情是这样的：他们（通常是 Contagious Interview 组，也就是一些假招聘人员）分享包含恶意钩子的 GitHub、Bitbucket 和 GitLab 仓库，这些仓库中有一个 `.vscode/` 子目录。我在这里分享的一个例子执行了一个假字体，实际上是 heavily-obfuscated 的 JS，绝对会让你崩溃。 你所有那些感觉 "方便" 的软件都做了权衡。这些权衡现在被滥用，以悄无声息地摧毁你的设备。 使用 Vim。并使用 Qubes。谢谢。