Check Point最近發(fā)現(xiàn)，網(wǎng)絡(luò)攻擊者在微軟的 VSCode Marketplace中上傳了3個惡意擴展，并被Windows 開發(fā)人員下載了 46600 次。

Check Point稱，攻擊者能夠利用這些惡意擴展竊取憑據(jù)、系統(tǒng)信息，并在受害者的機器上建立遠程 shell。

Check Point 發(fā)現(xiàn)的3個惡意擴展如下：

• Theme Darcula dark——被描述為“嘗試提高 VS Code 上的 Dracula 顏色一致性”。此擴展用于竊取有關(guān)開發(fā)人員系統(tǒng)的基本信息，包括主機名、操作系統(tǒng)、CPU 平臺、總內(nèi)存和有關(guān)中央處理器。到被發(fā)現(xiàn)時，該擴展程序已被下載超過 45000 次。
• python-vscode——對其代碼的分析表明，這是一個 C# shell 注入器，可以在開發(fā)人員的設(shè)備上執(zhí)行代碼或命令。
• prettiest java——根據(jù)描述，很可能是為了仿冒流行的“ prettier-java ”代碼格式化工具而創(chuàng)建，但實際上卻能從 Discord、谷歌 Chrome、Opera、Brave 瀏覽器和 Yandex 瀏覽器竊取保存在上面的憑證或身份驗證令牌，然后通過 Discord webhook 將其發(fā)送給攻擊者。

除此以外，Check Point 還發(fā)現(xiàn)了多個可疑擴展，這些擴展不能確定為惡意，但表現(xiàn)出不安全的行為，例如從私有存儲庫中獲取代碼或下載文件。

Check Point已經(jīng)將情況報告給了微軟，5月14日，VSCode從市場中刪除了這3個惡意擴展。但任何仍在使用惡意擴展的軟件開發(fā)人員必須手動將它們從系統(tǒng)中刪除，并運行完整掃描以檢測感染的任何殘余。

軟件存儲庫的安全風(fēng)險

Visual Studio Code (VSC) 是微軟發(fā)布的源代碼編輯器，  全球很大一部分專業(yè)軟件開發(fā)人員都是其用戶。微軟還為 IDE 運營一個名為 VSCode Marketplace 的擴展市場，里面提供了超過 50000 個擴展應(yīng)用程序功能，并提供更多自定義選項的附加組件。

雖然允許用戶上傳的軟件存儲庫（例如 NPM 和 PyPi）已經(jīng)一次又一次地被證明存在安全風(fēng)險，但針對VSCode Marketplace的惡意軟件滲透還沒有太多先例。而AquaSec 已在 1 月份證明，將惡意擴展上傳到 VSCode Marketplace 相當(dāng)容易，并提出了一些高度可疑的案例，但是最終沒能找到任何確鑿的惡意程序。

Check Point 發(fā)現(xiàn)的案例表明，如同攻擊者在NPM 和 PyPI 等軟件存儲庫中的做法，他們正積極嘗試通過上傳惡意程序感染 Windows 開發(fā)人員，Check Point 建議 VSCode Marketplace 和其他所有支持用戶上傳的軟件存儲庫用戶，在下載時僅選擇可信、下載量大且擁有較好社區(qū)評分的程序。