安全隐患：VSCode 扩展市场的恶意上传问题

关键要点

研究人员揭露了 Microsoft 的 Visual Studio Code (VSCode) 扩展市场存在大量恶意上传和缺乏安全控制的问题。他们通过创建一个伪造的流行扩展获得了超过 100 个组织的信任，其中包括多个市值数十亿的公司。研究发现，存在近 1300 个恶意扩展，总安装量达到 229 亿次。VSCode 扩展的权限模型缺失，使得恶意扩展可轻松执行危险操作。

一封发布于 Medium 的公开信中，研究人员指出 Microsoft 的 VSCode 扩展市场充斥着恶意上传和安全控制不足的问题。这封信发表于 6 月 3 日，是由 Landa CTO Amit Assaraf、AppTotal 创始人 Itay Kruk 和 Zscaler 安全研究员 Idan Dardikman 组成的一组研究人员的六部分博客系列的第三部分。

这组研究人员在上个月进行了一项实验，成功用一个拼写错误版本的流行 VSCode 扩展 “黑暗主题” Dracula Theme“黑暗官方版” Darcula Official“黑进”超过 100 个组织，包括几家市值数十亿的公司。他们在博客中写道：“在研究市场时，我们发现了大量 Microsoft 安全设计缺陷，给予了威胁行为者极大的可信度和访问权限。”

VSCode 是最广泛使用的集成开发环境 (IDE)，拥有超过 1500 万的月活跃用户，VSCode 市场每月获得超过 450 万次的访问量，提供多种扩展，如配色主题和代码美化工具。市场上大约有 60000 个扩展，来自约 45000 家出版商，平均开发人员使用约 40 个 IDE 扩展。

恶意 VSCode 扩展迅速获得关注

在他们的第一篇博客中，研究人员展示了一个实验，创建了一个拼写错误的仿造版热门扩展 “黑暗主题”，他们称之为 黑暗官方版Darcula Official。除了合法的黑暗主题源代码，研究人员还加入了代码，以将受害者正在处理的代码发送到他们自己的服务器，同时还收集受害者机器的一些信息，例如主机名、域、平台和已安装扩展数量。

研究人员报告称，创建黑暗官方版扩展仅耗时 30 分钟，并在几分钟内获得了第一次安装。他们通过注册“darculathemecom” 域并将其与自己的 VSCode Studio 账号关联，迅速获得了虚假扩展的可信度，成为了拥有蓝色勾号的“认证出版商”。几天内，黑暗官方版便在市场的首页被标记为“热门”扩展，并获得了超过 100 次的安装。

研究人员透露，安装了他们这个潜在危险扩展的组织中，包括10多家市值数十亿的公司，以及一家市值达 4830 亿美元的上市公司、一个主要的网络安全公司以及一个国家司法法院网络。

该组对这些受害者做出了负责任的披露，同时在扩展的许可证中包含了声明：“这是一个为研究目的而创建的黑暗主题的分支，并指出该扩展收集了一些数据并展示代码执行。”

研究人员发现近1300个恶意 VSCode 扩展，总安装量达229亿次

在他们的实验后，研究人员 进行了进一步的研究，对 VSCode 市场生态系统进行了调查，发现了一系列令人担忧的实践和潜在的危险扩展，包括 1283 个具有已知恶意依赖关系的扩展，总安装量达 229 亿次。

水母加速器下载

此外，他们还发现 8161 个扩展与硬编码的 IP 地址进行通信，1452 个扩展会在主机上运行未知的可执行二进制文件或 DLL，145 个扩展被