駭客透過惡意擴充套件 瞄準開發人員發動攻擊

資安業者 Secure Annex 的研究人員 John Tuckner 發現一款已被下載超過 20 萬次的惡意擴充套件。這個惡意套件專門鎖定使用 Solidity 語言的區塊鏈開發者，這些開發者主要用該語言在以太坊等區塊鏈平台上撰寫智慧合約。

調查發現，這款擴充套件不但沒有任何實用功能，反而會在背景執行 PowerShell 腳本，讓駭客能夠遠端操控被感染的電腦。資安專家表示，該擴充套件完全是個空殼，純粹只為了植入遠端控制後門。

Tuckner 特別提醒使用「Vibe」編輯器的開發者，他們倚賴的平台目前欠缺基本的資安防護機制和內容審核流程。

資安專家質疑，這類惡意擴充套件相當明顯，不需要專業的資安背景就能識別。這種明顯的威脅本應被基本的資安掃描工具擋下，根本不該出現在正規市集中。他們進一步指出，如果連這種低階的攻擊都能輕易通過審核，面對更隱蔽複雜的惡意程式，使用者幾乎毫無防護可言。

這款惡意套件是在 Open VSX 套件庫中被發現的。隨著 AI 程式編輯器的流行，這個第三方市集也愈來愈受歡迎。目前市面上大多數熱門的「Vibe」編輯器都採用 Open VSX 作為擴充功能來源，這個平台服務超過 800 萬名開發者，提供許多無法從官方管道取得的套件。

「Vibe」編輯器用戶無法連接微軟官方的VS Code套件市集

因法律限制，基於 VS Code 開源專案開發的替代程式編輯器無法存取微軟官方的 Visual Studio 套件庫，而這原是 VS Code 開發者優先選用的資源。這個套件庫僅供微軟自家產品使用，導致 Cursor、Windsurf 等 VS Code 衍生版本必須尋找其他替代套件來源。

這些限制導致替代編輯器在提供外掛功能給用戶時陷入兩難。Open VSX 作為一個不受微軟限制的替代資源庫因應而生，成為「Vibe」開發者的救命稻草。在這個平台上，任何人都能自由上傳或下載外掛，但駭客也正是看準這點，趁機而入。

研究人員提醒，這種開放式平台帶來的風險遠高於微軟嚴謹把關的市集。儘管微軟的市集也非完美，但其企業級的監管機制、自動化資安掃描和嚴格的審核流程，能有效攔截惡意程式碼，避免危害終端使用者。

值得一提的是，Open VSX 在面對此資安危機時反應相當即時：接獲通報後僅三小時內，便下架了問題擴充功能（solidityai.solidity 和 soliditysupport.solid），並進一步凍結這些開發者的帳號權限。

重大 Open VSX 資安漏洞曝光

2025年6月26日，一個影響 Open VSX 自動部署系統的重大資安漏洞被揭露。資安業者 Koi Security 指出，有心人士可利用此漏洞取得市集的管理權限，散布含有惡意程式的套件更新，進而威脅數百萬使用「Vibe」編輯器的開發人員。

研究人員表示，這個簡單的漏洞竟讓數百萬開發者面臨空前的資安風險。此有問題的自動部署機制洩漏了高權限憑證，包括 @open-vsx 服務帳號的金鑰，擁有在市集中發布或覆蓋任何套件的權限。此金鑰相當於 Open VSX Registry 的最高管理者憑證，可以發布新套件、更新或覆蓋現有套件。從攻擊者的角度來看，這等同於掌控了整個生態系統的軟體供應鏈。

根據公開的修補時間表，這個問題經過六次更新和三個多月的時間才完全修復。負責維護該市集的 Eclipse 基金會表示，目前沒有發現遭入侵的痕跡，但仍採取預防措施，主動下架了 81 個擴充套件。

Koi Security 進一步提醒開發者，應將市集、應用程式商店或套件庫下載的所有軟體視為不可信任的來源。該業者研究團隊每天都在 Open VSX、微軟自家的 VS Code 市集，甚至企業內部市集中發現漏洞和惡意套件。這是普遍存在的問題：任何程式碼，只要在你的環境中執行，就成為你資安攻擊面的一部分。

本文轉載自 Cybernews。