もう治ってるらしい。

Microsoftの提供するテキストエディタ Visual Studio Code にはローカルに保存されている特定の名前のファイルを起動時に読み込み、その内容をコードとして実行してしまう問題があります。現在のv1.7.1では問題は解消されていますが、問題が発生することを確認したv0.8.0との間のどのバージョンで問題が修正されたのかは不明です。
Microsoftでは本件を脆弱性として取り扱っているのか不明です。

Visual Studio Code における任意コード実行の問題 - 葉っぱ日記