近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现,攻击者频繁利用伪造的VS Code扩展程序对JavaScript和Python开发者实施攻击,已造成多起企业数据泄露及系统被控事件。
恶意VS Code扩展程序首次发现于2018年,其本质是通过仿冒代码优化工具、智能脚本生成器等实用功能进行伪装,执行加密货币挖矿、窃取用户数据及实施远程控制等恶意行为。攻击者采用分段渗透策略:首先在VS Code官方扩展市场及第三方平台部署含基础功能的诱饵程序,随后通过伪造BitBucket协作平台的更新链接,向开发者设备投递加密恶意模块,再利用JavaScript的eval()函数动态解密并执行恶意代码,值得注意的是,该恶意扩展在激活前会智能检测调试环境与安全工具来规避分析。植入成功后,该恶意扩展会窃取源代码、API密钥等敏感信息,并在软件中创建后门,威胁企业信息安全。
建议相关单位及用户立即组织排查已安装的扩展程序,重点排查近期添加的格式化工具类插件,关闭非必要的网络共享等系统服务,启用进程白名单防护,隔离异常网络流量,限制VS Code进程的非必要外联行为,禁用可疑扩展功能。
声明:本文来自网络安全威胁和漏洞信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
