你的VS Code 擴展值得信賴嗎？ – 科技資訊

Aqua Nautilus 研究人員最近發現，攻擊者可以輕鬆地冒充流行的Visual Studio Code 擴展並誘騙不知情的開發人員下載它們。 VSCode 是迄今為止最受歡迎的IDE；StackOverflow 的一項調查指出，其目前已被 74.48% 的開發人員所使用。VSCode 的強大之處在於其種類繁多的擴展，VSCode Marketplace 中共有超過40,000 個擴展。

作為VSCode 用戶，所使用的VSCode 擴展是否值得信賴或合法也是一個問題。根據介紹，雖然有幾種功能有助於保護開發人員免受惡意擴展的侵害。譬如，微軟保證對每個新擴展和每個擴展更新都運行病毒掃描。在掃描結果一切正常之前，該擴展不會發佈在Marketplace 上供公眾使用。以及採取了一些措施來防止名稱搶注，即名稱故意與知名名稱相似。開發人員還可以觀察擴展是否有藍勾，該標識意味著發布者已經驗證了一個web 域名的所有權（有些正版擴展也並沒有進行驗證，如 Prettier 等）。

Marketplace 中的熱門擴展

但研究人員指出，即使對於具有安全意識的開發人員來說，想要準確區分惡意和良性擴展也是一項挑戰。並提出了幾點論據：

• 任何人都可以註冊成為擴展發布者，甚至使用一個新的一次性電子郵件地址。
• 擴展的擴展名稱和發布者名稱不必是唯一的，可以復制現有名稱。在給出的例子中，研究人員以流行的VSCode 擴展Prettier 為例，創建了一個偽裝的新擴展。仔細查看URL 可發現，區別在於發布者名稱（esbenp 與espenp）和擴展名（prettier-vscode 與pretier-vscode）。當用戶正確搜索Prettier 擴展時，該模擬擴展出現在第26 位，風險很低。但如果開發人員無意中錯誤輸入為“pretier”時，該偽裝擴展則是唯一的搜索結果。

正版

盜版

• 發布者的藍勾僅證明對一個域的所有權。 “發布者可以購買任何域名並註冊它以獲得那個驗證的勾號。”
• 下載和評論的數量是有用的，但這些東西可以編排和偽造。

Aqua 團隊未能證明惡意擴展可以通過Microsoft 的病毒檢查程式。但數據表明，其所發布的 Prettier 偽裝擴展，在不到48 小時的時間在全世界範圍內被安裝了1000 多次。 VS Code 擴展以與用戶相同的權限運行，因此如果安裝惡意擴展，很可能會造成損害。

研究人員總結稱，惡意VSCode 擴展的威脅是真實存在的。過去可能因為沒有發生過有重大影響的事件，而導致其沒有受到很多的關注。然而，攻擊者一直在努力擴展他們的技術庫，使他們能夠在組織網絡內運行惡意程式碼。 “作為研究人員，我們在這裡揭示此類威脅並提高社區對這些新的潛在切入點的認識。”

同樣重要的是要注意VSCode 擴展是用Node 編寫的，並且包是從NPM 下載的，從而還一直存在著惡意程式碼包被上傳到NPM 等軟件包管理器的威脅。因此存在這樣的實際風險：即不知情的合法開發人員可能會在不知不覺中使用來自NPM 的惡意包作為其擴展的依賴項，從而導致整個擴展遭到破壞，並在不知不覺中危及社區。

除了VSCode 擴展，Marketplace 還提供Visual Studio 和Azure DevOps 的擴展；它們也存在同樣的風險，不過研究人員暫時還未追踪到相關線索。 “像往常一樣，對你安裝的擴展保持警惕，並記住每個擴展都是以用戶的權限運行的。”

詳情可查看完整報告。