歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
駭客透過惡意擴充套件 瞄準開發人員發動攻擊
2025 / 07 / 09
編輯部
資安業者 Secure Annex 的研究人員 John Tuckner 發現一款已被下載超過 20 萬次的惡意擴充套件。
這個惡意套件專門鎖定使用 Solidity 語言的區塊鏈開發者,這些開發者主要用該語言在以太坊等區塊鏈平台上撰寫智慧合約。
調查發現,這款擴充套件不但沒有任何實用功能,反而會在背景執行 PowerShell 腳本,讓駭客能夠遠端操控被感染的電腦。資安專家表示,該擴充套件完全是個空殼,純粹只為了植入遠端控制後門。
Tuckner
特別提醒使用「Vibe」編輯器的開發者,他們倚賴的平台目前欠缺基本的資安防護機制和內容審核流程。
資安專家質疑,這類惡意擴充套件相當明顯,不需要專業的資安背景就能識別。這種明顯的威脅本應被基本的資安掃描工具擋下,根本不該出現在正規市集中。他們進一步指出,如果連這種低階的攻擊都能輕易通過審核,面對更隱蔽複雜的惡意程式,使用者幾乎毫無防護可言。
這款惡意套件是在 Open VSX 套件庫中被發現的。隨著 AI 程式編輯器的流行,這個第三方市集也愈來愈受歡迎。
目前市面上大多數熱門的「Vibe」編輯器都採用 Open VSX 作為擴充功能來源,這個平台服務超過 800 萬名開發者,提供許多無法從官方管道取得的套件。
「Vibe」編輯器用戶無法連接微軟官方的VS Code套件市集
因法律限制,基於 VS Code 開源專案開發的替代程式編輯器無法存取微軟官方的 Visual Studio 套件庫,而這原是 VS Code 開發者優先選用的資源。這個套件庫僅供微軟自家產品使用,導致 Cursor、Windsurf 等 VS Code 衍生版本必須尋找其他替代套件來源。
這些限制導致替代編輯器在提供外掛功能給用戶時陷入兩難。
Open VSX 作為一個不受微軟限制的替代資源庫因應而生,成為「Vibe」開發者的救命稻草。在這個平台上,任何人都能自由上傳或下載外掛,但駭客也正是看準這點,趁機而入。
研究人員提醒,這種開放式平台帶來的風險遠高於微軟嚴謹把關的市集。儘管微軟的市集也非完美,但其企業級的監管機制、自動化資安掃描和嚴格的審核流程,能有效攔截惡意程式碼,避免危害終端使用者。
值得一提的是,
Open VSX 在面對此資安危機時反應相當即時:接獲通報後僅三小時內,便下架了問題擴充功能(solidityai.solidity 和 soliditysupport.solid),並進一步凍結這些開發者的帳號權限。
重大 Open VSX 資安漏洞曝光
2025年6月26日,一個影響 Open VSX 自動部署系統的重大資安漏洞被揭露。資安業者 Koi Security 指出,有心人士可利用此漏洞取得市集的管理權限,散布含有惡意程式的套件更新,進而威脅數百萬使用「Vibe」編輯器的開發人員。
研究人員表示,這個簡單的漏洞竟讓數百萬開發者面臨空前的資安風險。此有問題的自動部署機制洩漏了高權限憑證,包括 @open-vsx 服務帳號的金鑰,擁有在市集中發布或覆蓋任何套件的權限。此金鑰相當於 Open VSX Registry 的最高管理者憑證,可以發布新套件、更新或覆蓋現有套件。從攻擊者的角度來看,這等同於掌控了整個生態系統的軟體供應鏈。
根據公開的修補時間表,這個問題經過六次更新和三個多月的時間才完全修復。負責維護該市集的 Eclipse 基金會表示,目前沒有發現遭入侵的痕跡,但仍採取預防措施,主動下架了 81 個擴充套件。
Koi Security 進一步提醒開發者,
應將市集、應用程式商店或套件庫下載的所有軟體視為不可信任的來源。
該業者研究團隊每天都在 Open VSX、微軟自家的 VS Code 市集,甚至企業內部市集中發現漏洞和惡意套件。這是普遍存在的問題:任何程式碼,只要在你的環境中執行,就成為你資安攻擊面的一部分。
本文轉載自 Cybernews。
Open VSX 資安漏洞
Vibe
SSDLC
軟體供應鏈開發
最新活動
2025.09.10
【從外部到內部:AI如何重新定義資安攻防戰線】實體研討會
2025.08.26
漢昕科技X線上資安黑白講【CDN 驅動的資安革新:Cloudflare 與數位部的實戰啟示】2025/8/26開講!
2025.09.05
從零開始學IT網路 – 5 天帶你掌握 IT 網路核心、拿下國際認證!
2025.09.11
9/11-9/12【API 安全開發指南:漏洞修復與授權管理實務】兩日精華班
看更多活動
大家都在看
最新攻擊手法Drive-by Cache 竊取人權網站訪客資料
GPT-5發布不到24小時即被破解:多重零點擊攻擊威脅企業與物聯網環境
Apple緊急修補CVE-2025-43300零時差漏洞 已遭利用於「極度複雜」定向攻擊
荷蘭國家資安中心警告:Citrix Netscaler漏洞CVE-2025-6543遭利用,多個重要機構遭入侵
資安署25年7月資安月報:第七期「國家資通安全發展方案」啟動;可攜式裝置成攻擊媒介
資安人科技網
文章推薦
亞洲組織要求供應商滿足資安標準 方能建立業務合作關係
中國Silk Typhoon駭客組織利用雲端信任關係發動供應鏈攻擊
WithSecure突破零日偵測技術 EDR行為資料導入曝險管理主動防禦未知威脅