2026-01-28 06:52:33 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 两款恶意VSCode扩展被发现窃取用户源代码，累计安装量超150万次，会将文件内容发送至远程服务器并嵌入跟踪框架。同期曝光的PackageGate漏洞影响主流JavaScript包管理器，可绕过脚本执行限制。文档建议开发者审慎审查扩展权限、加固供应链安全、及时更新工具以应对日益复杂的开发环境威胁。 综合评分： 88 文章分类： 恶意软件,供应链安全,漏洞分析,数据泄露,安全建设

cover_image

两款下载量超150万的VS Code扩展被曝窃取源代码

看雪学苑看雪学苑

看雪学苑

2026年1月27日 18:05 上海

在AI编程助手日益普及的今天，开发者们享受着自动化补全、错误解释带来的效率提升。然而，近期曝出的一起安全事件，为这股热潮敲响了警钟：一些广受欢迎的AI编程扩展，竟在暗中扮演着数据窃取者的角色。

壹

伪装成“助手”的间谍：

两款恶意VS Code扩展曝光

网络安全研究人员近期发现，在微软官方Visual Studio Marketplace上架的两款声称由AI驱动的编程辅助扩展，在提供正常功能的同时，竟隐藏着窃取开发者数据的恶意代码。这两款扩展累计安装量已超过150万次。

据分析，这两款扩展虽由不同发布者署名，但内嵌了完全相同的恶意代码库。它们表面上工作正常，能提供代码建议和解释，有效降低了用户的戒心。然而，其暗地里的行为却令人震惊：每当用户打开或编辑一个文件时，扩展便会读取文件的全部内容，将其进行Base64编码后，悄无声息地发送至位于中国的指定服务器。

更值得注意的是，这些扩展还具备远程实时监控功能。攻击者可通过服务器远程触发指令，导致受害者工作区内多达50个文件被一次性外泄。此外，扩展的网页视图内还隐藏着零像素的跟踪框架，用于加载多家商业数据分析SDK，对用户设备进行指纹采集并建立详细画像，进一步侵犯用户隐私。

贰

供应链防线上的裂缝：

“PackageGate”漏洞波及主流包管理器

无独有偶，软件供应链安全领域也拉响了新的警报。安全研究人员在npm、pnpm、vlt和Bun等主流JavaScript包管理器中，发现了六个可被利用的零日漏洞，这些漏洞被统称为“PackageGate”。

此前，通过禁用生命周期脚本（如使用--ignore-scripts参数）和严格锁定依赖版本（提交package-lock.json等锁文件），已成为防御供应链攻击（例如利用postinstall脚本传播的恶意软件）的关键手段。然而，“PackageGate”漏洞使得攻击者有可能绕过这些脚本执行限制和锁文件完整性检查，从而在安装阶段植入恶意代码。

截至目前，pnpm、vlt和Bun已发布更新修复了相关漏洞。然而，npm方面则表示，安装git依赖本身意味着信任该仓库的全部内容，包括其配置文件，因此将相关行为视为“预期设计”，暂无修复计划。GitHub方面则回应称，其正在积极应对此新问题，并持续对npm注册表进行恶意软件扫描。

叁

安全启示与应对建议

接连暴露的安全事件揭示了一个严峻现实：开发者所依赖的高效工具链，正成为攻击者眼中富有吸引力的目标。攻击模式日趋复杂，从直接的恶意扩展渗透到利用工具链本身的信任机制，威胁无处不在。

对于广大开发者和企业而言，以下几点建议有助于提升安全水位：

1.扩展审查需谨慎：即使是从官方市场安装扩展，也需保持警惕。核查发布者信誉、查看用户评价与更新历史，对于下载量巨大但评价可疑的扩展尤其要审慎。

2.最小权限原则：仔细审查扩展所请求的权限，思考其功能是否真的需要访问文件系统、读取所有工作区内容等高级别权限。

3.供应链安全加固：

坚持使用--ignore-scripts等安全参数来安装公共包。

务必提交并校验锁文件（如package-lock.json、yarn.lock），确保依赖树的确定性。

优先使用来源可靠、维护活跃的依赖包，定期审计和更新项目依赖。

4.启用安全特性：在代码托管平台（如GitHub）上，积极采用可信发布、启用强制双因素认证（2FA）的细粒度访问令牌，并避免使用过时的令牌类型。

5.保持工具更新：及时将开发工具（包括IDE、包管理器等）更新至最新稳定版本，以获取安全补丁。

*本文基于多家网络安全研究机构的公开报告与行业分析综述而成

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑看雪学苑看雪学苑《两款下载量超150万的VS Code扩展被曝窃取源代码》