HackerNews 编译,转载请注明出处:
安全研究发现,Microsoft Visual Studio Code、Visual Studio、IntelliJ IDEA 和 Cursor 等主流集成开发环境(IDE)在扩展验证流程中存在缺陷,可能使攻击者通过恶意扩展在开发者机器上执行任意代码。
OX Security 研究人员 Nir Zadok 和 Moshe Siman Tov Bustan 向The Hacker News提供的报告指出:“我们发现 Visual Studio Code 的验证机制存在缺陷,允许扩展发布者在保留‘已验证’图标的同时添加恶意功能。这会让恶意扩展看似经过官方认证,诱导开发者放松警惕。”
具体而言,VS Code 会通过向域名 marketplace.visualstudio.com 发送 HTTP POST 请求来验证扩展的签名状态。攻击者可利用此机制:
复制已验证扩展(如微软官方扩展)的验证参数;
创建同名恶意扩展并绕过信任检查;
使扩展在市场中显示“已验证”标识,同时植入可执行系统命令的恶意代码。
这种“扩展侧载”攻击模式无需官方市场审核,攻击者通过第三方渠道分发看似合法的 VSIX 文件即可实施。由于开发环境通常存储敏感凭据和源代码,此类漏洞可能导致严重的远程代码执行风险。
在 OX Security 的概念验证(PoC)中,恶意扩展成功在 Windows 系统启动计算器程序,证明其具备底层命令执行能力。研究人员进一步发现,通过篡改验证请求参数,可生成欺骗性 VSIX 文件,使恶意扩展在 IntelliJ IDEA 和 Cursor 等 IDE 中同样显示“已验证”状态。
微软回应称,该行为属于“设计特性”,并强调默认启用的扩展签名验证机制会阻止此类恶意 VSIX 文件上架官方市场。但 OX Security 在 2025 年 6 月 29 日 仍可复现漏洞利用。The Hacker News已联系微软寻求进一步评论,尚未收到回复。
研究再次警示:开发者不应仅凭“已验证”标识判断扩展安全性。建议:
优先从官方市场安装扩展;
避免使用来源不明的 VSIX/ZIP 文件;
对 GitHub 等第三方平台分享的扩展保持警惕。
研究人员总结:“恶意代码可注入扩展、打包为 VSIX 文件,并在多个主流开发平台上保留‘已验证’标识,这对习惯从网络资源安装扩展的开发者构成严重威胁。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
