【安全圈】19 款 Visual Studio Code 擴展中發現惡意軟件

關鍵詞

惡意軟件

網絡安全研究人員發現了一場涉及19個Visual Studio Code擴展的攻擊活動，這些擴展在其依賴文件夾中嵌入了惡意軟件。

該活動自2025年2月開始活躍，于12月2日被識別。攻擊者利用一個合法的npm包來偽裝惡意文件，并將惡意二進制文件捆綁在一個偽裝成PNG圖像的存檔文件中。

ReversingLabs觀察到的這種手法使攻擊者能夠繞過常規檢查，直接針對開發人員。

網絡釣魚手段的演變

2025年以來，一波新的惡意VS Code擴展不斷傳播。ReversingLabs指出，VS Code Marketplace上的可疑上傳數量持續上升。

一些擴展模仿流行工具，另一些則宣傳新功能但暗中執行惡意代碼。即使是受信任的擴展也可能被攻陷：今年7月，一個惡意拉取請求通過添加有害依賴項污染了一個合法項目。

在這次新的攻擊活動中，攻擊者在擴展的node_modules文件夾中嵌入了經過修改的npm包path-is-absolute。

該原始包自2021年以來已被下載超過90億次，但修改后的版本包含一個類，旨在VS Code啟動時觸發惡意軟件。其目的是解碼存儲在名為“lock”的文件中的JavaScript投放器。

攻擊者還包含了一個名為banner.png的文件，該文件看似無害，但實際上是一個包含兩個二進制文件的存檔。

投放器通過常見的離地生存二進制文件（LOLBIN）cmstp.exe啟動這些文件。其中一個可執行文件通過模擬按鍵操作來關閉進程，另一個則是基于Rust的木馬程序，截至報道時仍在分析中。

對開發人員日益增長的威脅

ReversingLabs表示，雖然大多數惡意擴展依賴修改后的path-is-absolute依賴項，但其他四個擴展則利用了npm包@actions/io，將有效負載存儲在TypeScript和映射文件中，而非使用偽裝的PNG文件。

盡管技術手段不同，但目標一致：通過受信任的組件秘密執行惡意軟件。

ReversingLabs警告稱，檢測惡意VS Code擴展已變得日益緊迫。該公司表示，檢測數量從2024年的27個增加到2025年前10個月的105個。

為降低風險，建議團隊：

• 在安裝前檢查擴展

• 審計所有捆綁的依賴項

• 使用能夠評估包行為的安全工具

“保持安全并非完全避免使用擴展，而是要認識到即使受信任的組件也可能被篡改，”ReversingLabs表示。

“所有提及的擴展均已向微軟報告。”

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！