恶意VS Code扩展窃取源码至中国服务器

网络安全研究人员发现两款伪装成 AI 编码助手的恶意 VS Code 扩展，暗中将开发者源代码传输至中国服务器。这些扩展仍可在官方市场下载，累计安装量达 150 万次。

恶意 VS Code 扩展窃取源代码并传输至中国服务器

网络安全研究人员近日发现两款恶意 Microsoft Visual Studio Code（VS Code） 扩展，它们伪装成 AI 驱动的编码助手，暗中将开发者的源代码传输至位于中国的服务器。这些扩展目前仍可在 Visual Studio Marketplace 官方市场下载，累计安装量已达 150 万次。

技术细节

这两款恶意扩展由网络安全公司 Aqua Security 发现，其关键调查结果如下：

扩展名称：这两款扩展以 AI 驱动的编码效率提升工具为名进行推广，但为防止进一步利用，具体名称尚未公开。
数据窃取：扩展内置隐藏功能，能够从开发者项目中收集源代码，并将其传输至位于中国的远程服务器。
持久性：扩展在后台持续运行，无声监控并窃取数据，用户难以察觉。
市场存在：尽管其恶意性质已被证实，但这些扩展仍可在 VS Code Marketplace 官方市场下载，引发外界对平台审核机制的质疑。

影响分析

此次事件对开发者及企业构成重大风险：

知识产权盗窃：未经授权访问源代码可能导致专有算法、商业机密及敏感业务逻辑被窃取。
供应链风险：受感染的开发环境可能成为进一步攻击的入口，包括在软件项目中植入后门或恶意代码。
合规与监管违规：处理敏感或受监管数据的企业，若源代码遭窃，可能面临法律责任。

建议措施

安全专家及开发者应采取以下防范措施：

审计已安装扩展：检查所有已安装的 VS Code 扩展，移除不明或可疑工具，尤其是声称具备 AI 功能的扩展。
监控网络流量：使用网络监控工具检测异常出站连接，特别是指向国外服务器的流量。
最小权限原则：限制 VS Code 扩展的权限，降低恶意工具可能造成的损害。
举报可疑扩展：若发现恶意扩展，应通过 Visual Studio Marketplace 向微软举报，协助其下架。
保持信息更新：关注网络安全研究机构及供应商的最新动态，及时了解开发环境中的新兴威胁。

微软尚未就这些扩展在官方市场的存在发表评论。此次事件凸显了广泛使用的开发平台中第三方扩展所带来的日益增长的风险。