恶意VS Code扩展窃取1.7万开发者源代码

可信市场沦为恶意软件分发渠道

安全公司Koi的研究人员发现，至少11个由威胁行为者TigerJack创建的恶意Visual Studio Code扩展已感染全球开发者生态系统。这些扩展伪装成程序员生产力工具，内含间谍软件、加密货币矿工和远程后门，已被超过1.7万名开发者下载。

“这些恶意软件隐形运行，在提供承诺功能的同时窃取知识产权、劫持系统资源，并维持持久后门以供远程访问，”Koi研究人员表示。

TigerJack恶意软件运作机制

该攻击采用多阶段特洛伊木马策略：

• 攻击者最初发布合法、功能完整的扩展来建立信誉并积累好评
• 获得信任后，同一扩展被静默更新为恶意代码
• “C++ Playground”扩展在VS Code启动时自动激活，监控C++文件的每次更改
• 每次击键都会触发延迟函数，实时捕获代码并上传至外泄服务器
• “HTTP Format”扩展秘密利用用户CPU通过嵌入的CoinIMP凭证挖掘加密货币
• 部分扩展包含远程代码执行后门，允许攻击者每20分钟下载并执行任意JavaScript

协调持久的威胁

TigerJack的活动不是一次性恶意软件投放，而是协调的持久渗透：

• 即使在微软移除恶意扩展后，威胁行为者仍以498-00发布者名称上传五个新变体
• 开发者未自动收到微软移除通知，导致他们 unaware 系统已受损
• 研究人员发现可能与TigerJack GitHub账户关联的Facebook个人资料

防护措施建议

为遏制TigerJack活动影响并预防类似供应链攻击，组织应加强开发环境：

• 审计并移除恶意扩展
• 重建受损系统并轮换所有可能暴露的凭证
• 使用EDR和网络监控工具检测可疑出站流量
• 实施允许列表和最小权限原则
• 限制并验证扩展来源
• 加强开发者安全卫生意识

威胁行为者也在“左移”

随着组织持续将安全“左移”，对手也在效仿——将自己嵌入开发者依赖的工具中。这次活动类似于过去的供应链泄露事件，但具有更广泛、去中心化的影响范围。TigerJack不是破坏单个供应商，而是利用了信任本身，将开源生态系统变成了其分发载体。