Open VSX仓库发现73个假冒VS Code扩展,6个携带恶意代码
应用安全厂商Socket研究人员披露,Open VSX仓库存在73个假冒VS Code扩展。其中6个已确认含恶意代码,其余67个为"潜伏包"——盗用真实扩展的图标与描述获取用户信任,待后续更新时激活攻击。
确认恶意的扩展包括:
- outsidestormcommand.monochromator-theme
- keyacrosslaud.auto-loop-for-antigravity
- krundoven.ironplc-fast-hub
- boulderzitunnel.vscode-buddies
- cubedivervolt.html-code-validate
- winnerdomain17.version-lens-tool
这批扩展集中于2026年4月初发布,属于GlassWorm v2供应链攻击活动。Socket自2025年12月21日起已追踪到超320个相关恶意构件。
攻击者采用新型技术路径:不直接植入恶意二进制文件,而是通过混淆JavaScript代码远程拉取恶意载荷。攻击生效后,会利用VS Code安装命令将恶意代码部署至VS Code、Cursor等所有检测到的IDE中。最终窃取浏览器凭证并植入远程访问木马(RAT),且具备针对俄语系统的自动规避机制。
研究人员强调,此次攻击策略已从直接投递转向"潜伏包积累信任+版本更新定向投毒"模式,显著延长潜伏周期以规避安全检测。作为微软VS Code Marketplace的开源替代平台,Open VSX因审核机制薄弱,正成为供应链攻击重点目标。
来源:The Hacker News
