3 月 23 日消息,继 NPM、PyPI 平台后,安全公司 ReversingLabs 曝光目前微软 VS Code 的插件库也遭黑客滥用,大量黑客在相应平台中上传带有木马的插件,不知情的开发者安装后即中招。
相应安全公司举例两款恶意插件“ahban.shiba”和“ahban.cychelloworld”, 这两款插件均隐含恶意脚本,在安装后即会通过黑客架设的 C2 服务器下载 PowerShell 脚本,进一步在受害者设备中安装勒索木马。
相应木马会在受害者桌面上新建一个名为“testShiba”的文件夹,并将用户的隐私数据加密后复制到其中,用户点击便会显示黑客预设的勒索信息,要求用户支付 1 个虚拟货币作为赎金,以换取解密密钥。
值得注意的是,这些恶意插件上架接近 4 个月后才被发现,而安全人员 Italy Kruk 透露,他们在去年 11 月底就发现了这款名为“ahban.cychelloworld”的恶意插件,随后提报给微软,但微软并没有进行处理。
后来,黑客又为相应恶意插件迭代了 5 个版本,甚至全部顺利通过了微软的审核流程。据此,Italy Kruk 认为微软可能需要调整审核机制来应对这种情况。
