Cara, o que mais eu estou vendo sobre segurança são exatamente as vulnerabilidades "supply chain", principalmente no NPM. O complicado de tudo isso é que geral ignora ou realmente é ignorante nessa questão, ai faz cagada.
Respondendo a "Meus 2 cents, De fato eh uma vulnerabilidade ch..." dentro da publicação [Segurança] Aviso de segurança para galera do VSCode + Remote - SSH
1