Check Point最近發(fā)現(xiàn)，網(wǎng)絡(luò)攻擊者在微軟的 VSCode Marketplace中上傳了3個(gè)惡意擴(kuò)展，并被Windows 開發(fā)人員下載了 46600 次。

Check Point稱，攻擊者能夠利用這些惡意擴(kuò)展竊取憑據(jù)、系統(tǒng)信息，并在受害者的機(jī)器上建立遠(yuǎn)程 shell。

Check Point 發(fā)現(xiàn)的3個(gè)惡意擴(kuò)展如下：

• Theme Darcula dark——被描述為“嘗試提高 VS Code 上的 Dracula 顏色一致性”。此擴(kuò)展用于竊取有關(guān)開發(fā)人員系統(tǒng)的基本信息，包括主機(jī)名、操作系統(tǒng)、CPU 平臺、總內(nèi)存和有關(guān)中央處理器。到被發(fā)現(xiàn)時(shí)，該擴(kuò)展程序已被下載超過 45000 次。
• python-vscode——對其代碼的分析表明，這是一個(gè) C# shell 注入器，可以在開發(fā)人員的設(shè)備上執(zhí)行代碼或命令。
• prettiest java——根據(jù)描述，很可能是為了仿冒流行的“ prettier-java ”代碼格式化工具而創(chuàng)建，但實(shí)際上卻能從 Discord、谷歌 Chrome、Opera、Brave 瀏覽器和 Yandex 瀏覽器竊取保存在上面的憑證或身份驗(yàn)證令牌，然后通過 Discord webhook 將其發(fā)送給攻擊者。

除此以外，Check Point 還發(fā)現(xiàn)了多個(gè)可疑擴(kuò)展，這些擴(kuò)展不能確定為惡意，但表現(xiàn)出不安全的行為，例如從私有存儲庫中獲取代碼或下載文件。

Check Point已經(jīng)將情況報(bào)告給了微軟，5月14日，VSCode從市場中刪除了這3個(gè)惡意擴(kuò)展。但任何仍在使用惡意擴(kuò)展的軟件開發(fā)人員必須手動(dòng)將它們從系統(tǒng)中刪除，并運(yùn)行完整掃描以檢測感染的任何殘余。

軟件存儲庫的安全風(fēng)險(xiǎn)

Visual Studio Code (VSC) 是微軟發(fā)布的源代碼編輯器，  全球很大一部分專業(yè)軟件開發(fā)人員都是其用戶。微軟還為 IDE 運(yùn)營一個(gè)名為 VSCode Marketplace 的擴(kuò)展市場，里面提供了超過 50000 個(gè)擴(kuò)展應(yīng)用程序功能，并提供更多自定義選項(xiàng)的附加組件。

雖然允許用戶上傳的軟件存儲庫（例如 NPM 和 PyPi）已經(jīng)一次又一次地被證明存在安全風(fēng)險(xiǎn)，但針對VSCode Marketplace的惡意軟件滲透還沒有太多先例。而AquaSec 已在 1 月份證明，將惡意擴(kuò)展上傳到 VSCode Marketplace 相當(dāng)容易，并提出了一些高度可疑的案例，但是最終沒能找到任何確鑿的惡意程序。

Check Point 發(fā)現(xiàn)的案例表明，如同攻擊者在NPM 和 PyPI 等軟件存儲庫中的做法，他們正積極嘗試通過上傳惡意程序感染 Windows 開發(fā)人員，Check Point 建議 VSCode Marketplace 和其他所有支持用戶上傳的軟件存儲庫用戶，在下載時(shí)僅選擇可信、下載量大且擁有較好社區(qū)評分的程序。