VSCode 远程隧道是流行开发环境的一个合法功能，但越来越多地被恶意行为者所利用。

此功能允许开发人员远程访问其本地编码环境，从而提高参与度和灵活性。

利用此功能，恶意行为者可以安装文件或脚本来安装 VSCode CLI 并在用户不知情的情况下创建远程隧道。

这使得攻击者可以非法访问开发人员的设备，从而窃取机密数据、部署恶意软件并通过网络横向移动。

VSCode 隧道如何被威胁行为者滥用？

根据 On the Hunt 的博客文章，最初传送的恶意 LNK 文件包含一个 PowerShell 命令，允许用户从远程 IP 地址下载并执行 Python 脚本。

VSCode CLI 二进制文件 code-insiders.exe 由 Python 脚本下载并执行。Python 脚本使用 CLI 二进制文件针对 Github 生成并验证VSCode 隧道。 

创建了 VSCode 的远程隧道，威胁行为者使用通过 Web 浏览器创建的隧道在 Python 有效负载上执行命令。

为了在不使用攻击者的 GitHub 帐户的情况下对 VSCode 进行身份验证，请按下“连接到隧道”按钮。

一旦通过账户验证，就可以看到具有活动隧道的远程主机列表。选择在线的受害者主机将连接到该主机上运行的 VSCode 远程隧道。 

这使得遍历受害者远程计算机上的目录成为可能。此外，还可以创建新文件或脚本并远程运行它们。

建议组织将远程隧道的访问权限限制在自己的租户范围内。如果不可行，应禁止在庄园内使用隧道，或采取措施防止其滥用。 

因此，公司可以采取主动措施来对抗这一新威胁，从而保护其敏感数据并保护其开发环境的完整性。

来源：

https://cybersecuritynews.com/hackers-abusing-microsoft-vscode-remote-tunnels/#google_vignette

【安全圈】可能对企业产生严重影响：字节跳动飞书海外版Lark也将在美国市场停止运营

【安全圈】微软已经修复Microsoft 365在Windows Server 2016/2019上崩溃的问题

【安全圈】FTC 要求通用汽车停止收集和销售驾驶员数据

【安全圈】CL-UNK-0979 利用 Ivanti Connect Secure 中的零日漏洞获取网络访问权限

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！