VS Code應用市場惡意擴展：偽藏身PNG文件植入木馬程序

安全研究員最新發現，一款隱蔽的惡意攻擊活動自2月起持續活躍，攻擊者在微軟VS Code應用市場上架19款惡意擴展程序，通過在依賴文件夾中植入惡意軟件的方式，專門針對開發者發起攻擊。調查顯示攻擊者使用了一個偽裝成.PNG格式圖片的惡意文件實施攻擊。

VS Code應用市場是微軟為其廣受歡迎的VS Code集成開發環境（IDE）打造的官方擴展門戶，開發者可通過該平臺下載擴展程序，實現功能拓展或界面個性化定制。

由于該平臺用戶基數龐大，且存在引發高危害性供應鏈攻擊的潛在風險，一直以來都是威脅者的重點攻擊目標，相關攻擊手段也在不斷迭代升級。

據觀察，這些惡意擴展程序均預先打包了node_modules文件夾，以此規避VS Code在安裝過程中從npm軟件源獲取依賴組件的流程。

攻擊者在這個內置的依賴文件夾中植入了經過篡改的依賴包，涉及path-is-absolute與@actions/io兩款組件，并在其index.js文件中添加了一個惡意類。該惡意類會在VS Code集成開發環境啟動時自動執行。

惡意代碼添加到index.js文件

需要特別指出的是，path-is-absolute是一款在npm平臺上極為熱門的軟件包，自2021年以來累計下載量已達數十億次，而此次被植入惡意代碼的版本僅存在于該攻擊活動涉及的19款擴展程序中。

index.js文件中新增的惡意類，會對一個名為lock的文件內的混淆型JavaScript投放程序進行解碼。此外，依賴文件夾中還包含一個偽裝成.PNG圖片文件（文件名為banner.png）的壓縮包，其中藏匿著兩款惡意二進制文件：一款是名為cmstp.exe的合法系統工具濫用程序（LoLBin） ，另一款則是基于Rust語言開發的木馬程序。

目前，安全研究員仍在對這款木馬程序展開分析，以明確其全部功能。

研究人員表示，該攻擊活動涉及的19款VS Code惡意擴展程序，名稱均基于以下名稱變體衍生而來，且發布版本號均為1.0.0：

·Malkolm Theme

·PandaExpress Theme

·Prada 555 Theme

·Priskinski Theme

目前，涉事的19款惡意擴展程序現已全部被下架處理。但對于此前已安裝這些擴展程序的用戶而言，需立即對自身系統進行掃描，排查是否存在被入侵的痕跡。

鑒于威脅者持續開發新手段，規避軟件開發常用公共代碼倉庫的安全檢測，安全人員建議用戶在安裝各類擴展程序前務必對軟件包進行全面檢查，尤其是當發布方并非信譽良好的正規廠商時。

用戶應仔細梳理軟件包中包含的所有依賴組件，特別是像VS Code擴展程序這類將依賴組件內置打包、而非從npm等可信源獲取的情況，更需提高警惕。

參考及來源：https://www.bleepingcomputer.com/news/security/malicious-vscode-marketplace-extensions-hid-trojan-in-fake-png-file/