VS Code插件竟是间谍?150万开发者被骗,这背后真相是什么?
- 内容介绍
- 文章标签
- 相关推荐
摸鱼。 如果你正坐在电脑前敲代码,屏幕上闪烁着VS Code那熟悉的蓝绿配色,光标在代码行间跳动时,你有没有想过——此刻正有一双看不见的手,悄悄把你写的源码、藏在.env里的密钥,甚至Git提交记录,打包发送到千里之外的服务器?
那些挂着"AI助手"幌子的插件,到底偷了什么?
杀疯了! 2024年春天,平安圈炸开了锅:ReversingLabs研究员在例行审计中捕获到一批异常流量——数万台安装了VS Code的电脑,正通过HTTPS向境外C2服务器发送加密数据包。追根溯源,罪魁祸首是两款下载量突破百万次 的"AI编程助手"插件:ahban.shiba和ahban.cychelloworld。
它们有多会?打开Marketplace页面,你会看到这样的介绍: - 五星好评: "自动补全比官方还准!" "解释错误像有个资深工程师在旁边!" - 界面友 看好你哦! 好: Material Design风格设置页,和微软官方插件几乎无缝衔接 - 功能完整: 直接在编辑器里问"怎么实现Redis分布式锁",秒回带注释的代码片段
但背地里,这些"贴心助手"干着三件可怕的事: 第一步:悄娱乐拿权限——安装时勾选"读取工作目录""访问本地配置""调用网络接口",VS Code默认把这些归为"必要权限",连个弹窗警示都没有; 第二步:疯狂扫敏感文件——.env里的AWS密钥、aws/credentials里의云服务凭证,甚至Git仓库里の未提交源码,全被它收入囊中; 第三步:偷偷上传搞事情——把收集到的数据转成Base64编码塞进隐藏文件夹,每隔10分钟就向C2服务器发一次包;要是碰到"高价值目标",还会自动部署勒索木马,把桌面文件加密成".locker"格式,弹出索要1个虚拟货币の赎金窗口。
摸鱼。 如果你正坐在电脑前敲代码,屏幕上闪烁着VS Code那熟悉的蓝绿配色,光标在代码行间跳动时,你有没有想过——此刻正有一双看不见的手,悄悄把你写的源码、藏在.env里的密钥,甚至Git提交记录,打包发送到千里之外的服务器?
那些挂着"AI助手"幌子的插件,到底偷了什么?
杀疯了! 2024年春天,平安圈炸开了锅:ReversingLabs研究员在例行审计中捕获到一批异常流量——数万台安装了VS Code的电脑,正通过HTTPS向境外C2服务器发送加密数据包。追根溯源,罪魁祸首是两款下载量突破百万次 的"AI编程助手"插件:ahban.shiba和ahban.cychelloworld。
它们有多会?打开Marketplace页面,你会看到这样的介绍: - 五星好评: "自动补全比官方还准!" "解释错误像有个资深工程师在旁边!" - 界面友 看好你哦! 好: Material Design风格设置页,和微软官方插件几乎无缝衔接 - 功能完整: 直接在编辑器里问"怎么实现Redis分布式锁",秒回带注释的代码片段
但背地里,这些"贴心助手"干着三件可怕的事: 第一步:悄娱乐拿权限——安装时勾选"读取工作目录""访问本地配置""调用网络接口",VS Code默认把这些归为"必要权限",连个弹窗警示都没有; 第二步:疯狂扫敏感文件——.env里的AWS密钥、aws/credentials里의云服务凭证,甚至Git仓库里の未提交源码,全被它收入囊中; 第三步:偷偷上传搞事情——把收集到的数据转成Base64编码塞进隐藏文件夹,每隔10分钟就向C2服务器发一次包;要是碰到"高价值目标",还会自动部署勒索木马,把桌面文件加密成".locker"格式,弹出索要1个虚拟货币の赎金窗口。