VS Code 的失控恶意软件问题：微软自有日志揭示

Source: Dev.to

Introduction

如果你和我一样，VS Code 的配置是一套精心挑选的主题、代码检查工具和效率提升插件。我们相信 Visual Studio Marketplace 是一个安全的工具聚集地，能够让我们的工作更轻松。然而，查看 GitHub 上官方公布的已移除扩展列表后，情况就不那么美好了。

Marketplace 采用的是被动式模型。微软会进行自动扫描，但大量恶意代码只有在已经发布并被毫无防备的开发者下载后才会被下架。

Types of Malicious Extensions

• Credential Theft – 窃取 .env 文件、SSH 密钥或其他敏感凭证的扩展。
• Typosquatting – 对流行扩展（例如 Prettier、ESLint）的恶意克隆，利用名称中的细小拼写错误来欺骗用户。
• Remote Access – 在你的开发环境中打开后门的插件，允许攻击者读取文件、记录按键并导出数据。

How to Protect Yourself

Check the Publisher

寻找 “Verified” 认证标记。如果一个流行工具是由一个没有任何历史记录的随机账户发布的，请避免使用。

Verify the Numbers

如果一个扩展声称是广泛使用的工具，但只有几百次下载，而正版的已经有数百万次下载，那么它很可能是一次拼写抢注（typosquatting）尝试。

Audit Your List

定期检查已安装的扩展。那些多年未更新的扩展应重新评估其安全性。

Do a Deeper Scan

基本的商店过滤可以被绕过。使用 VS Code 扩展安全分析器进行深度评估，检查是否存在混淆代码、隐藏的网络连接以及危险的依赖。分析器将在代码触及你的机器之前生成风险报告。

Conclusion

VS Code Marketplace 是一个极好的资源，但我们必须停止把它视为天然安全的假设。“已移除的包”列表证明恶意软件仍在不断渗透。今天抽几分钟审计一下你的扩展吧——这比以后面对被入侵的机器要好得多。