安全研究员最新发现，一款隐蔽的恶意攻击活动自 2 月起持续活跃，攻击者在微软 VS Code 应用市场上架 19 款恶意扩展程序，通过在依赖文件夹中植入恶意软件的方式，专门针对开发者发起攻击。调查显示攻击者使用了一个伪装成 .PNG 格式图片的恶意文件实施攻击。 

VS Code 应用市场是微软为其广受欢迎的 VS Code 集成开发环境（IDE）打造的官方扩展门户，开发者可通过该平台下载扩展程序，实现功能拓展或界面个性化定制。

由于该平台用户基数庞大，且存在引发高危害性供应链攻击的潜在风险，一直以来都是威胁者的重点攻击目标，相关攻击手段也在不断迭代升级。

据观察，这些恶意扩展程序均预先打包了 node_modules 文件夹，以此规避 VS Code 在安装过程中从 npm 软件源获取依赖组件的流程。

攻击者在这个内置的依赖文件夹中植入了经过篡改的依赖包，涉及 path-is-absolute 与 @actions/io 两款组件，并在其 index.js 文件中添加了一个恶意类。该恶意类会在 VS Code 集成开发环境启动时自动执行。

恶意代码添加到 index.js 文件

需要特别指出的是，path-is-absolute 是一款在 npm 平台上极为热门的软件包，自 2021 年以来累计下载量已达数十亿次，而此次被植入恶意代码的版本仅存在于该攻击活动涉及的 19 款扩展程序中。

index.js 文件中新增的恶意类，会对一个名为 lock 的文件内的混淆型 JavaScript 投放程序进行解码。此外，依赖文件夹中还包含一个伪装成 .PNG 图片文件（文件名为 banner.png）的压缩包，其中藏匿着两款恶意二进制文件：一款是名为 cmstp.exe 的合法系统工具滥用程序（LoLBin） ，另一款则是基于 Rust 语言开发的木马程序。

目前，安全研究员仍在对这款木马程序展开分析，以明确其全部功能。

研究人员表示，该攻击活动涉及的 19 款 VS Code 恶意扩展程序，名称均基于以下名称变体衍生而来，且发布版本号均为 1.0.0：

·Malkolm Theme

·PandaExpress Theme

·Prada 555 Theme

·Priskinski Theme  

目前，涉事的 19 款恶意扩展程序现已全部被下架处理。但对于此前已安装这些扩展程序的用户而言，需立即对自身系统进行扫描，排查是否存在被入侵的痕迹。

鉴于威胁者持续开发新手段，规避软件开发常用公共代码仓库的安全检测，安全人员建议用户在安装各类扩展程序前务必对软件包进行全面检查，尤其是当发布方并非信誉良好的正规厂商时。

用户应仔细梳理软件包中包含的所有依赖组件，特别是像 VS Code 扩展程序这类将依赖组件内置打包、而非从 npm 等可信源获取的情况，更需提高警惕。