网络安全研究人员发现了一场触及19个Visual Studio Code扩展的进犯活动,这些扩展在其依靠文件夹中嵌入了歹意软件。
该活动自2025年2月开端活泼,于12月2日被辨认。进犯者运用一个合法的npm包来假装歹意文件,并将歹意二进制文件捆绑在一个假装成PNG图画的存档文件中。
ReversingLabs观察到的这种方法使进犯者可以绕过惯例查看,直接针对开发人员。
一些扩展仿照盛行东西,另一些则宣扬新功能但私自履行歹意代码。即便是受信赖的扩展也或许被攻陷:本年7月,一个歹意拉取恳求经过增加有害依靠项污染了一个合法项目。
在这次新的进犯活动中,进犯者在扩展的node_modules文件夹中嵌入了经过修正的npm包path-is-absolute。
该原始包自2021年以来已被下载超越90亿次,但修正后的版别包含一个类,旨在VS Code发动时触发歹意软件。其意图是解码存储在名为“lock”的文件中的JavaScript投进器。
进犯者还包含了一个名为banner.png的文件,该文件看似无害,但其实便是一个包含两个二进制文件的存档。
投进器经过常见的离地生计二进制文件(LOLBIN)cmstp.exe发动这些文件。其间一个可履行文件经过模仿按键操作来封闭进程,别的一个则是根据Rust的木马程序,到报导时仍在剖析中。
ReversingLabs表明,尽管大多数歹意扩展依靠修正后的path-is-absolute依靠项,但其他四个扩展则运用了npm包@actions/io,将有用负载存储在TypeScript和映射文件中,而非运用假装的PNG文件。
ReversingLabs正告称,检测歹意VS Code扩展已变得日益急迫。该公司表明,查验测验数量从2024年的27个增加到2025年前10个月的105个。
“坚持安全并非彻底避开运用扩展,而是要认识到即便受信赖的组件也或许被篡改,”ReversingLabs表明。
特别声明:以上内容(如有图片或视频亦包含在内)为自媒体渠道“网易号”用户上传并发布,本渠道仅供给信息存储服务。
燃油车杀回来了!仅售7.58万,月销量38434台,比小米SU7还火!
骤降10℃!杭州人赶忙预备,冷空气周末就杀到......网友:气温是坐上了过山车?
希望单破130万,末日审判由你执笔!《检疫区:最终一站》2026年1月12日Steam正式出售
倾情看护 筑牢儿童健康防地块买个二手洗衣机,晚上5岁女儿对着洗衣机哭:爸爸放妹妹出来吧
,杏彩客户端手机版