關(guān)于防范惡意VS Code擴(kuò)展程序的風(fēng)險(xiǎn)提示

近日，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)（CSTIS）監(jiān)測(cè)發(fā)現(xiàn)，攻擊者頻繁利用偽造的VS Code擴(kuò)展程序?qū)avaScript和Python開發(fā)者實(shí)施攻擊，已造成多起企業(yè)數(shù)據(jù)泄露及系統(tǒng)被控事件。

惡意VS Code擴(kuò)展程序首次發(fā)現(xiàn)于2018年，其本質(zhì)是通過仿冒代碼優(yōu)化工具、智能腳本生成器等實(shí)用功能進(jìn)行偽裝，執(zhí)行加密貨幣挖礦、竊取用戶數(shù)據(jù)及實(shí)施遠(yuǎn)程控制等惡意行為。攻擊者采用分段滲透策略：首先在VS Code官方擴(kuò)展市場(chǎng)及第三方平臺(tái)部署含基礎(chǔ)功能的誘餌程序，隨后通過偽造BitBucket協(xié)作平臺(tái)的更新鏈接，向開發(fā)者設(shè)備投遞加密惡意模塊，再利用JavaScript的eval()函數(shù)動(dòng)態(tài)解密并執(zhí)行惡意代碼，值得注意的是，該惡意擴(kuò)展在激活前會(huì)智能檢測(cè)調(diào)試環(huán)境與安全工具來規(guī)避分析。植入成功后，該惡意擴(kuò)展會(huì)竊取源代碼、API密鑰等敏感信息，并在軟件中創(chuàng)建后門，威脅企業(yè)信息安全。

建議相關(guān)單位及用戶立即組織排查已安裝的擴(kuò)展程序，重點(diǎn)排查近期添加的格式化工具類插件，關(guān)閉非必要的網(wǎng)絡(luò)共享等系統(tǒng)服務(wù)，啟用進(jìn)程白名單防護(hù)，隔離異常網(wǎng)絡(luò)流量，限制VS Code進(jìn)程的非必要外聯(lián)行為，禁用可疑擴(kuò)展功能。

來源：網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)