文章总结： 研究人员发现19个VisualStudioCode扩展中嵌入了恶意软件，这些扩展自2025年2月开始活跃，于12月2日被识别。攻击者通过修改合法的npm包path-is-absolute和@actions/io，将恶意二进制文件伪装成PNG图像存档，利用cmstp.exe启动恶意程序。恶意VSCode扩展数量从2024年的27个增加到2025年前10个月的105个。为降低风险，建议开发人员在安装前检查扩展，审计所有捆绑的依赖项，并使用能评估包行为的安全工具。 综合评分： 85 文章分类： 恶意软件,漏洞分析,安全预警,应用安全,网络安全

对开发人员日益增长的威胁

ReversingLabs表示，虽然大多数恶意扩展依赖修改后的path-is-absolute依赖项，但其他四个扩展则利用了npm包@actions/io，将有效负载存储在TypeScript和映射文件中，而非使用伪装的PNG文件。

尽管技术手段不同，但目标一致：通过受信任的组件秘密执行恶意软件。

ReversingLabs警告称，检测恶意VS Code扩展已变得日益紧迫。该公司表示，检测数量从2024年的27个增加到2025年前10个月的105个。

为降低风险，建议团队：

• 在安装前检查扩展
• 审计所有捆绑的依赖项
• 使用能够评估包行为的安全工具

“保持安全并非完全避免使用扩展，而是要认识到即使受信任的组件也可能被篡改，”ReversingLabs表示。

“所有提及的扩展均已向微软报告。”

END

阅读推荐

【安全圈】59元汉堡套餐“0元购”？上海一男子利用知名快餐APP系统漏洞，改价代下单1300笔牟利！

【安全圈】民警黄某某任职期间开设网店，用密钥查询公民个人车辆信息，售出40多条获利2.4万元

【安全圈】为无人机“黑飞”提供破解服务，被刑拘！

【安全圈】网络操纵黑产调查：灰产SIM卡如何豢养虚拟水军操控舆论

【安全圈】黑客新套路：利用莱昂纳多主演新电影，连环设陷入侵你的电脑

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

查看原文：《【安全圈】19 款 Visual Studio Code 扩展中发现恶意软件》