V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
oIMOo
V2EX  ›  信息安全

恶意 VSCode 拓展已有数百万次安装

  •  4
     
  •   oIMOo · 167 天前 · 3212 次点击
    这是一个创建于 167 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天看到两篇关于同主题的文章,还挺有意思的,给大家分享下。

    https://medium.com/@amitassaraf/the-story-of-extensiontotal-how-we-hacked-the-vscode-marketplace-5c6e66a0e9d7

    https://www.bleepingcomputer.com/news/security/malicious-vscode-extensions-with-millions-of-installs-discovered/

    大概就是几个人故意发布了一个含有恶意代码的拓展,然而他们发现发布过程的审核非常潦草,加之后续拓展被显示到了推荐位,有众多用户中招,甚至包含一家市值 4830 亿美元的上市公司的设备。

    大家以后下软件、拓展,甚至联系官方支持的时候,一定要多几个心眼,认证了不等于一定就是正主。

    4 条回复    2024-06-11 14:53:26 +08:00
    0o0O0o0O0o
        1
    0o0O0o0O0o  
       166 天前 via iPhone
    /t/1005995 单方面表达过我这种普通人的自保方式,确实见到一部分人在执行一个 exe 、msi 文件之前可能会很慎重地判断可不可信,但对于安装各类软件的扩展就会放松警惕
    cnt2ex
        2
    cnt2ex  
       166 天前
    吓得我立马看了一下自己的 vscode 的插件,还好都用的微软自家出的玩意。
    augustheart
        3
    augustheart  
       166 天前
    讲道理就是能进入到推荐位,那么问题就在于 vsc 身上。
    oIMOo
        4
    oIMOo  
    OP
       166 天前
    @augustheart #3 是的,审核也很不负责……
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2776 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 08:18 · PVG 16:18 · LAX 00:18 · JFK 03:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.