19 款 Visual Studio Code 扩展中发现恶意软件

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场涉及19个Visual Studio Code扩展的攻击活动，这些扩展在其依赖文件夹中嵌入了恶意软件。 该活动自2025年2月开始活跃，于12月2日被识别。攻击者利用一个合法的npm包来伪装恶意文件，并将恶意二进制文件捆绑在一个伪装成PNG图像的存档文件中。 ReversingLabs观察到的这种手法使攻击者能够绕过常规检查，直接针对开发人员。 网络钓鱼手段的演变 2025年以来，一波新的恶意VS Code扩展不断传播。ReversingLabs指出，VS Code Marketplace上的可疑上传数量持续上升。 一些扩展模仿流行工具，另一些则宣传新功能但暗中执行恶意代码。即使是受信任的扩展也可能被攻陷：今年7月，一个恶意拉取请求通过添加有害依赖项污染了一个合法项目。 在这次新的攻击活动中，攻击者在扩展的node_modules文件夹中嵌入了经过修改的npm包path-is-absolute。 该原始包自2021年以来已被下载超过90亿次，但修改后的版本包含一个类，旨在VS Code启动时触发恶意软件。其目的是解码存储在名为“lock”的文件中的JavaScript投放器。 攻击者还包含了一个名为banner.png的文件，该文件看似无害，但实际上是一个包含两个二进制文件的存档。 投放器通过常见的离地生存二进制文件（LOLBIN）cmstp.exe启动这些文件。其中一个可执行文件通过模拟按键操作来关闭进程，另一个则是基于Rust的木马程序，截至报道时仍在分析中。 对开发人员日益增长的威胁 ReversingLabs表示，虽然大多数恶意扩展依赖修改后的path-is-absolute依赖项，但其他四个扩展则利用了npm包@actions/io，将有效负载存储在TypeScript和映射文件中，而非使用伪装的PNG文件。 尽管技术手段不同，但目标一致：通过受信任的组件秘密执行恶意软件。 ReversingLabs警告称，检测恶意VS Code扩展已变得日益紧迫。该公司表示，检测数量从2024年的27个增加到2025年前10个月的105个。 为降低风险，建议团队： 在安装前检查扩展 审计所有捆绑的依赖项 使用能够评估包行为的安全工具 “保持安全并非完全避免使用扩展，而是要认识到即使受信任的组件也可能被篡改，”ReversingLabs表示。 “所有提及的扩展均已向微软报告。”   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文