文章总结： 自2025年2月以来，攻击者通过19个恶意VSCode扩展程序发起供应链攻击，将恶意软件隐藏在伪装成PNG文件的压缩包中。这些扩展程序预先打包了修改过的依赖项，在index.js文件中添加了自动执行的恶意代码，用于解码混淆的JavaScript投放器。恶意文件包含cmstp.exe和一个基于Rust的木马程序。尽管微软已移除这些恶意扩展，但研究人员建议用户在安装软件包前进行检查，特别是对来源不明的发布者，并仔细检查打包的依赖项。 综合评分： 89 文章分类： 恶意软件,漏洞分析,威胁情报,供应链安全,安全意识