文章总结： 文章演示VSCode“信任作者”后，攻击者通过在.vscode/tasks.json预置恶意命令，当用户调试运行index.js触发preLaunchTask，即可在本地执行任意代码并完成DNS回连，揭示默认信任机制可被用于一键RCE，建议对未知项目保持不信任并审查配置文件。 综合评分： 82 文章分类： WEB安全,安全意识,漏洞分析,实战经验,终端安全

当你在 VS Code 中点击「信任作者」时，恶意代码是如何被触发的

原创

KeepHack1ng KeepHack1ng

KeepHack1ng

2026年1月21日 12:31 北京

当我们用 VS Code 打开项目时会提示是否信任该项目的作者，很多人不明白有什么区别，如果信任，会有什么威胁呢？今天拿个例子说明一下。

当用户点击信任后，VS Code 会启用 workspace 内的 tasks 机制，攻击者可以提前在项目的 .vscode/ tasks.json 文件 中写入恶意命令：

以该示例为例，攻击流程如下： 攻击者诱导用户打开项目并点击“信任作者”，随后当用户通过 VS Code 使用 Node.js 运行或调试 index.js 时，VS Code 会按照 launch.json 中的配置自动执行preLaunchTask，从而触发 .vscode/tasks.json 中预先植入的恶意命令。

运行index.js:

dnslog记录：

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：KeepHack1ng KeepHack1ng KeepHack1ng《当你在 VS Code 中点击「信任作者」时，恶意代码是如何被触发的》