近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现，攻击者频繁利用伪造的VS Code扩展程序对JavaScript和Python开发者实施攻击，已造成多起企业数据泄露及系统被控事件。

恶意VS Code扩展程序首次发现于2018年，其本质是通过仿冒代码优化工具、智能脚本生成器等实用功能进行伪装，执行加密货币挖矿、窃取用户数据及实施远程控制等恶意行为。攻击者采用分段渗透策略：首先在VS Code官方扩展市场及第三方平台部署含基础功能的诱饵程序，随后通过伪造BitBucket协作平台的更新链接，向开发者设备投递加密恶意模块，再利用JavaScript的eval()函数动态解密并执行恶意代码，值得注意的是，该恶意扩展在激活前会智能检测调试环境与安全工具来规避分析。植入成功后，该恶意扩展会窃取源代码、API密钥等敏感信息，并在软件中创建后门，威胁企业信息安全。

建议相关单位及用户立即组织排查已安装的扩展程序，重点排查近期添加的格式化工具类插件，关闭非必要的网络共享等系统服务，启用进程白名单防护，隔离异常网络流量，限制VS Code进程的非必要外联行为，禁用可疑扩展功能。

声明：本文来自网络安全威胁和漏洞信息共享平台，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 [email protected]。