VS Code应用市场恶意扩展：伪藏身PNG文件植入木马程序

安全研究员最新发现，一款隐蔽的恶意攻击活动自2月起持续活跃，攻击者在微软VS Code应用市场上架19款恶意扩展程序，通过在依赖文件夹中植入恶意软件的方式，专门针对开发者发起攻击。调查显示攻击者使用了一个伪装成.PNG格式图片的恶意文件实施攻击。

VS Code应用市场是微软为其广受欢迎的VS Code集成开发环境（IDE）打造的官方扩展门户，开发者可通过该平台下载扩展程序，实现功能拓展或界面个性化定制。

由于该平台用户基数庞大，且存在引发高危害性供应链攻击的潜在风险，一直以来都是威胁者的重点攻击目标，相关攻击手段也在不断迭代升级。

据观察，这些恶意扩展程序均预先打包了node_modules文件夹，以此规避VS Code在安装过程中从npm软件源获取依赖组件的流程。

攻击者在这个内置的依赖文件夹中植入了经过篡改的依赖包，涉及path-is-absolute与@actions/io两款组件，并在其index.js文件中添加了一个恶意类。该恶意类会在VS Code集成开发环境启动时自动执行。

恶意代码添加到index.js文件

需要特别指出的是，path-is-absolute是一款在npm平台上极为热门的软件包，自2021年以来累计下载量已达数十亿次，而此次被植入恶意代码的版本仅存在于该攻击活动涉及的19款扩展程序中。

index.js文件中新增的恶意类，会对一个名为lock的文件内的混淆型JavaScript投放程序进行解码。此外，依赖文件夹中还包含一个伪装成.PNG图片文件（文件名为banner.png）的压缩包，其中藏匿着两款恶意二进制文件：一款是名为cmstp.exe的合法系统工具滥用程序（LoLBin） ，另一款则是基于Rust语言开发的木马程序。

目前，安全研究员仍在对这款木马程序展开分析，以明确其全部功能。

研究人员表示，该攻击活动涉及的19款VS Code恶意扩展程序，名称均基于以下名称变体衍生而来，且发布版本号均为1.0.0：

·Malkolm Theme

·PandaExpress Theme

·Prada 555 Theme

·Priskinski Theme

目前，涉事的19款恶意扩展程序现已全部被下架处理。但对于此前已安装这些扩展程序的用户而言，需立即对自身系统进行扫描，排查是否存在被入侵的痕迹。

鉴于威胁者持续开发新手段，规避软件开发常用公共代码仓库的安全检测，安全人员建议用户在安装各类扩展程序前务必对软件包进行全面检查，尤其是当发布方并非信誉良好的正规厂商时。

用户应仔细梳理软件包中包含的所有依赖组件，特别是像VS Code扩展程序这类将依赖组件内置打包、而非从npm等可信源获取的情况，更需提高警惕。

参考及来源：https://www.bleepingcomputer.com/news/security/malicious-vscode-marketplace-extensions-hid-trojan-in-fake-png-file/