大数跨境
首页
>
VSCode 供应链攻陷:12个恶意扩展窃取源代码并开启远程控制
>
0
0

VSCode 供应链攻陷:12个恶意扩展窃取源代码并开启远程控制

VSCode 供应链攻陷:12个恶意扩展窃取源代码并开启远程控制 代码卫士
2025-10-30
1
导读:这些扩展同时存在于微软官方VSCode市场和OpenVSX平台,主要针对使用AI辅助编程和DevOps工具的开发者。

  聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。


随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。


为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。


注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。


HelixGuard威胁情报团队发现了一起影响Visual Studio Code扩展市场的广泛供应链攻击事件,至少存在12个恶意插件,其中四个在发现时仍可正常下载。这些扩展插件被证实具有窃取源代码、泄露凭据、捕捉屏幕截图,甚至能在开发者机器上开启远程 shell 的功能。

这些扩展同时存在于微软官方VSCode市场和OpenVSX平台,主要针对使用AI辅助编程和DevOps工具的开发者。此次事件标志着攻击者将集成开发环境 (IDEs) 作为软件供应链渗透向量的新趋势,这与先前在npm和PyPI生态系统中出现的攻击模式如出一辙。

随着VSCode巩固其作为全球最流行代码编辑器的地位,攻击者开始将其扩展生态系统武器化。该研究团队引用了arXiv发布的一项题为《开发者同样是受害者:VS Code扩展生态系统全面分析》的研究,指出"在52880个扩展中约有5.6%(2969个)展现出可疑行为,累计获得了6.13亿次安装。"

报告提醒称,恶意IDE扩展现已演变为成熟的恶意软件加载器:"攻击者可能使用恶意IDE插件窃取开发者主机中的代码,获取剪贴板中的敏感数据,并建立远程后门,构成高度安全风险。"

研究团队详细解析了每个插件的功能,揭露它们如何在合法的VSCode工作流中悄无声息地集成恶意JavaScript代码。其中最值得关注的漏洞有:

1、Christine-devops1234.scraper — 通过硬编码服务器窃取源代码

 该插件将项目名称、文件内容、搜索查询、选定代码甚至图像外泄至攻击者控制的端点35.164.75.62:8080。

2、Kodease.fyp-23-s2-08 — 通过Ngrok隧道进行数据外泄

该插件将用户代码片段发送至Ngrok中转地址9691-34-83-7-143.ngrok-free.app,注入脚本在处理后直接发送选定代码。

3、este123444212.teste123444212 — 持久化远程后门

该插件连接至AWS EC2实例(ec2-18-222-167-218.us-east-2.compute.amazonaws.com:443),允许攻击者执行任意命令。嵌入代码会创建反向shell,直接获取受害者终端访问权。

4、ToToRoManComp.diff-tool-vsc — Linux shell后门

该插件中的复杂payload通过与远程IP(89.104.69.35:445)建立shell会话,通过混淆的Bash命令执行经解码后暴露的Perl反向shell。

5、BX-Dev.Blackstone-DLP — 剪贴板与屏幕截图监控

该插件定期捕获屏幕截图和剪贴板数据,并将其上传至CloudFront地址d1hnchthod2r9c.cloudfront.net。

部分恶意组件还展示了安装检测与反分析能力。例如GuyNachshon.cxcx123扩展在安装时会向https://webhook.site/daea041c-4c7b-4c56-97cf-1d6b2be569b5 发送网络信标,此举可让攻击者检测用户主机的出站连接并验证感染状态。

而最复杂的威胁之一VKTeam.ru会收集包括用户名、主机名和域名在内的系统元数据,并将其发送至188.124.39.62。其代码动态构建包含受害者数据的Base64编码payload,并通过Axios进行HTTP传输。

安全团队提醒称,鉴于开发工具与生产系统之间的高度集成,恶意VSCode扩展可能成为渗透企业网络的初始接入点。研究人员强调称:"IDE插件中的恶意软件是企业安全团队需要严肃对待的供应链攻击渠道。"一旦开发者的IDE被攻陷,攻击者即可转向内部代码库、向构建过程注入恶意代码或窃取知识产权,这使得IDE层恶意软件对DevOps流水线和AI辅助代码库具有特殊危险性。



开源卫士试用地址:https://sast.qianxin.com/#/login
代码卫士试用地址:https://codesafe.qianxin.com








推荐阅读

开发人员注意:VSCode 应用市场易被滥用于托管恶意扩展

GitHub Copilot 严重漏洞可导致私有仓库源代码被盗

受 Salesforce 供应链攻击影响,全球汽车巨头 Stellantis 数据遭泄露

捷豹路虎数据遭泄露生产仍未恢复,幕后黑手或与 Salesforce-Salesloft 供应链攻击有关

十几家安全大厂信息遭泄露,谁是 Salesforce-Salesloft 供应链攻击的下一个受害者?

第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例,全球700+家企业受影响

黑客发动史上规模最大的 NPM 供应链攻击,影响全球10%的云环境

十几家安全大厂信息遭泄露,谁是 Salesforce-Salesloft 供应链攻击的下一个受害者?

第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例,全球700+家企业受影响

AI供应链易遭“模型命名空间复用”攻击

Frostbyte10:威胁全球供应链的10个严重漏洞

PyPI拦截1800个过期域名邮件,防御供应链攻击

PyPI恶意包利用依赖引入恶意行为,发动软件供应链攻击

黑客利用虚假 PyPI 站点钓鱼攻击Python 开发人员

700多个恶意误植域名库盯上RubyGems 仓库

NPM “意外” 删除 Stylus 合法包 全球流水线和构建被迫中断

固件开发和更新缺陷导致漏洞多年难修,供应链安全深受其害

NPM仓库被植入67个恶意包传播恶意软件

在线阅读版:《2025中国软件供应链安全分析报告》全文

NPM软件供应链攻击传播恶意软件

隐秘的 npm 供应链攻击:误植域名导致RCE和数据破坏

NPM恶意包利用Unicode 隐写术躲避检测

Aikido在npm热门包 rand-user-agent 中发现恶意代码

密币Ripple 的NPM 包 xrpl.js 被安装后门窃取私钥,触发供应链攻击



原文链接

https://securityonline.info/vscode-supply-chain-compromise-12-malicious-extensions-steal-source-code-and-open-remote-shells/


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


【声明】内容源于网络
0
0
代码卫士
奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。本订阅号提供国内外热点安全资讯。
内容 1774
粉丝 0
代码卫士 奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。本订阅号提供国内外热点安全资讯。
总阅读32
粉丝0
内容1.8k