恶意VS Code模仿Zoom应用程序从Chrome窃取cookie

网络安全研究人员发现了一种针对使用Visual Studio Code （VS Code）的开发人员的新威胁。

一个伪装成Zoom应用程序的恶意扩展程序被发现从谷歌Chrome窃取cookie，这引起了人们对VS Code扩展生态系统安全性的担忧。

该欺骗性扩展于2024年11月30日上传到VS Code市场，并于12月8日最后更新，模仿了Zoom工作空间工具。

为了增强其可信度，上传者包含了一个到Zoom会议SDK的合法GitHub存储库的链接。

恶意扩展的核心功能包含在两个主要文件中：

1、./dist/extension.js：负责激活和取消激活扩展。

2、./src/extension-web.js：包含扩展的主要逻辑。

Hunt.io 的研究人员发现，该扩展是使用package.json文件中的“onStartupFinished”事件激活的，从而确保在 VS Code 完全加载后任何恶意代码都会运行。

关键组成部分：

• 该扩展使用各种 Node.js 模块，包括用于数据库交互的 sqlite3 以及用于系统特定操作的 path 和 os。

• 声明可疑终端节点：“https://api.storagehb.cn/d?v=1.3”，指向托管在中国的服务器。

• 该代码尝试访问 Chrome 的 Cookie 存储和与安全帐户相关的 Windows 注册表数据。

一个欺诈的VS Code扩展

一个SQL查询语句用于从Chrome cookie数据库中提取敏感信息：-

SELECT host_key, name, encrypted_value, path, expires_utc, is_secure, is_httponly, creation_utc, has_expires, is_persistent FROM cookies

可疑扩展的 VS Code 市场概述页

此查询检索各种cookie属性，包括加密值、过期日期和安全标志。

该扩展最初是在11月30日发布的版本0.2.0和0.2.1，针对谷歌Chrome cookie的代码在12月8日的版本0.2.2中引入。这表明了一种有意绕过早期检测机制的策略。

这一发现突出了与VS Code扩展相关的潜在安全风险。建议开发人员：

1、在安装前彻底审查扩展，包括代码审查和信誉检查。

2、实现严格的访问控制，仅在必要时限制扩展权限。

3、随时了解开发环境中潜在的安全威胁。

网络安全专家已经向微软VS Code市场报告了该恶意扩展，以保护用户。

随着像VS Code这样的ide继续成为开发人员必不可少的工具，保持警惕和实施健壮的安全实践对于保护敏感数据和维护软件开发过程的完整性变得越来越重要。

原文来自: cybersecuritynews.com