【安全圈】19 款 Visual Studio Code 扩展中发现恶意软件

关键词

恶意软件

网络安全研究人员发现了一场涉及19个Visual Studio Code扩展的攻击活动，这些扩展在其依赖文件夹中嵌入了恶意软件。

该活动自2025年2月开始活跃，于12月2日被识别。攻击者利用一个合法的npm包来伪装恶意文件，并将恶意二进制文件捆绑在一个伪装成PNG图像的存档文件中。

ReversingLabs观察到的这种手法使攻击者能够绕过常规检查，直接针对开发人员。

网络钓鱼手段的演变

2025年以来，一波新的恶意VS Code扩展不断传播。ReversingLabs指出，VS Code Marketplace上的可疑上传数量持续上升。

一些扩展模仿流行工具，另一些则宣传新功能但暗中执行恶意代码。即使是受信任的扩展也可能被攻陷：今年7月，一个恶意拉取请求通过添加有害依赖项污染了一个合法项目。

在这次新的攻击活动中，攻击者在扩展的node_modules文件夹中嵌入了经过修改的npm包path-is-absolute。

该原始包自2021年以来已被下载超过90亿次，但修改后的版本包含一个类，旨在VS Code启动时触发恶意软件。其目的是解码存储在名为“lock”的文件中的JavaScript投放器。

攻击者还包含了一个名为banner.png的文件，该文件看似无害，但实际上是一个包含两个二进制文件的存档。

投放器通过常见的离地生存二进制文件（LOLBIN）cmstp.exe启动这些文件。其中一个可执行文件通过模拟按键操作来关闭进程，另一个则是基于Rust的木马程序，截至报道时仍在分析中。

对开发人员日益增长的威胁

ReversingLabs表示，虽然大多数恶意扩展依赖修改后的path-is-absolute依赖项，但其他四个扩展则利用了npm包@actions/io，将有效负载存储在TypeScript和映射文件中，而非使用伪装的PNG文件。

尽管技术手段不同，但目标一致：通过受信任的组件秘密执行恶意软件。

ReversingLabs警告称，检测恶意VS Code扩展已变得日益紧迫。该公司表示，检测数量从2024年的27个增加到2025年前10个月的105个。

为降低风险，建议团队：

• 在安装前检查扩展

• 审计所有捆绑的依赖项

• 使用能够评估包行为的安全工具

“保持安全并非完全避免使用扩展，而是要认识到即使受信任的组件也可能被篡改，”ReversingLabs表示。

“所有提及的扩展均已向微软报告。”

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！