超过 100 个 VS Code 扩展使开发人员面临隐藏的供应链风险
研究发现,逾百个 VS Code 扩展发布者泄露访问令牌,攻击者可利用这些令牌向约15万用户分发恶意更新,构成严重供应链风险。Wiz共发现550余条机密信息,涉及AI、云服务和数据库密钥等。与此同时,威胁组织“TigerJack”通过伪装合法扩展在 VS Code 市场和 Open VSX 平台传播恶意代码,实施代码窃取、挖矿和后门控制。专家警告,VS Code 扩展生态存在严重安全隐患,需加强市场统一防护与扩展审查。
新的研究发现,超过 100 个 Visual Studio Code (VS Code) 扩展的发布者泄露了访问令牌,这些令牌可能会被不法分子利用来更新扩展,从而对软件供应链造成严重的风险。
Wiz 安全研究员 Rami McCarthy 在与 The Hacker News 分享的一份报告中指出: “泄露的 VSCode Marketplace 或 Open VSX PAT(个人访问令牌)允许攻击者直接向整个安装群分发恶意扩展更新。发现此问题的攻击者能够直接向累计 15 万个安装群分发恶意软件。”
这家云安全公司指出,在许多情况下,发布者未能考虑到这样一个事实:VS Code 扩展虽然以 .vsix 文件的形式分发,但可以被解压缩和检查,从而暴露其中嵌入的硬编码秘密。
Wiz 表示,总共发现了超过 550 个已验证的机密信息,分布在数百家不同发布商的 500 多个扩展程序中。这 550 个机密信息被归类为 67 种不同类型的机密信息,包括:
AI 提供商机密,例如与 OpenAI、Gemini、Anthropic、XAI、DeepSeek、Hugging Face 和 Perplexity 相关的机密
云服务提供商机密,例如与 Amazon Web Services (AWS)、Google Cloud、GitHub、Stripe 和 Auth0 相关的机密
数据库机密,例如与 MongoDB、PostgreSQL 和 Supabase 相关的机密
Wiz 在其报告中还指出,超过 100 个扩展程序泄露了 VS Code Marketplace PAT,总计安装量超过 85,000 次。另有 30 个扩展程序(累计安装量不少于 100,000)被发现开放了 VSX 访问令牌。被标记的扩展程序中,很大一部分是主题。
DFIR 保留服务
由于 Open VSX 也集成到由人工智能 (AI) 驱动的 VS Code 分支(如 Cursor 和 Windsurf)中,泄露访问令牌的扩展可以显著扩大攻击面。
该公司表示,在一个案例中,它发现了一个 VS Code Marketplace PAT,它可能允许将目标恶意软件推送到一家市值 300 亿美元的中国大型企业的员工手中,这表明该问题还扩展到组织使用的内部或特定于供应商的扩展。
在 2025 年 3 月底和 4 月向微软进行负责任的披露后,这家 Windows 制造商撤销了泄露的 PAT,并宣布将添加秘密扫描功能,以阻止已验证秘密的扩展,并在检测到秘密时通知开发人员。
建议 VS Code 用户限制已安装扩展的数量,在下载扩展之前仔细检查,并权衡启用自动更新的利弊。建议各组织制定扩展清单,以便更好地响应恶意扩展的报告,并考虑为扩展建立一个集中的许可列表。
“这个问题凸显了扩展程序、插件以及整个供应链安全的持续风险,”Wiz 说。“它进一步证实了任何软件包存储库都存在大量机密泄露的高风险这一印象。”
TigerJack 利用恶意扩展程序攻击 VS Code 市场#
与此同时,Koi Security 披露了代号为 TigerJack 的威胁行为者的详细信息,该威胁行为者自 2025 年初以来使用各种发布者帐户发布了至少 11 个看似合法的恶意 VS Code 扩展,作为“协调、系统”活动的一部分。
安全研究员 Tuval Admoni表示:“Tiger-Jack 使用 ab-498、498 和 498-00 身份开展活动,部署了一套复杂的武器库:窃取源代码的扩展程序、挖掘加密货币的扩展程序以及建立远程后门以实现完全的系统控制。”
其中两个恶意扩展程序——C++ Playground 和 HTTP Format——在被删除之前已吸引了超过 17,000 次下载。然而,它们仍然在 Open VSX 上可用,并且威胁行为者在删除后于 2025 年 9 月 17 日在 VS Code Marketplace 上以新名称重新发布了相同的恶意代码。
这些扩展程序值得注意的是,它们提供了承诺的功能,这为它们的恶意活动提供了完美的掩护,使安装它们的毫无戒心的开发人员无法察觉。
具体来说,C++ Playground 扩展被发现可以通过 500 毫秒延迟后触发的监听器几乎实时地捕获按键操作。其最终目标是窃取 C++ 源代码文件。另一方面,HTTP Format 扩展则隐藏了恶意代码,用于运行 CoinIMP 挖矿程序,并通过滥用系统资源来秘密挖掘加密货币。
TigerJack 以别名“498”发布的另外三个扩展程序,即 cppplayground、httpformat 和 pythonformat,每 20 分钟从外部服务器(“ab498.pythonanywhere[.]com”)下载并运行任意 JavaScript,从而具有充当后门的能力,进一步加剧了风险。
CIS 构建套件
Admoni 指出:“通过每 20 分钟检查一次新指令,并对远程获取的代码使用 eval(),TigerJack 可以在不更新扩展的情况下动态推送任何恶意负载,例如窃取凭据和 API 密钥、部署勒索软件、使用受感染的开发人员机器作为进入公司网络的入口点、向你的项目注入后门或实时监控你的活动。”
Koi Security 还指出,这些扩展程序大多在被恶意修改之前,最初都是完全良性的工具,这是典型的特洛伊木马攻击方式。这带来了诸多好处,因为它可以让威胁行为者建立合法性,并在用户中获得关注。
更重要的是,它还可以欺骗可能在安装前审查过扩展的开发人员,因为威胁行为者可能会在稍后推送更新来破坏他们的环境。
2025 年 6 月,微软表示已制定了多步骤流程,以确保 VS Code 市场免受恶意软件侵害。这包括在沙盒环境中对所有传入软件包进行初始扫描,以检查是否存在恶意运行时行为,以及重新扫描和定期的市场范围扫描,以“确保一切安全”。
也就是说,这些安全保护仅适用于 VS Code Marketplace,而不适用于 Open VSX 注册表等其他系统,这意味着即使恶意扩展从 Microsoft 平台中删除,威胁行为者也可以轻松迁移到安全性较低的替代方案。
该公司表示:“所有市场的安全格局碎片化,造成了危险的盲点,而经验丰富的威胁行为者早已有所利用。当安全措施各自为政时,威胁只会在平台之间迁移,而开发人员却在不知不觉中暴露在风险之中。”
评论0次