惡意VS Code擴充套件上架微軟市集，偽裝PNG檔藏匿木馬

資安公司ReversingLabs研究人員分析了19款上架於微軟VS Code市集的惡意擴充套件，發現這些套件表面上提供開發輔助功能，實際卻把惡意程式藏在隨套件封裝的相依目錄中，並以看似PNG檔的檔案包裝木馬。研究人員指出，該活動從2025年2月起持續運作，並於2025年12月2日被發現，他們已將相關擴充套件通報微軟。

研究人員說明，VS Code擴充套件通常會把執行所需的NPM相依套件一併打包，安裝時不必再下載。攻擊者正是利用該預先封裝特性，在熱門NPM套件path-is-absolute的本機副本動手腳，加入額外檔案與啟動觸發程式碼，使惡意行為在VS Code啟動時被觸發。研究人員強調，官方NPM儲存庫上的path-is-absolute內容未被更動，風險來自擴充套件作者可任意改寫其封裝內容。

由於被改造的程式會先解碼一段經過混淆處理的JavaScript投放器，接著再執行藏在偽裝為banner.png檔案中的惡意二進位檔，並借助Windows內建程式cmstp.exe這類LOLBIN啟動。研究人員初步辨識其中一個惡意載荷為Rust木馬，但其完整能力仍在持續分析。另有少數擴充套件未偽裝PNG檔，而是改以NPM套件@actions/io投放相同惡意載荷，並分別藏在.ts與.map檔案中。

ReversingLabs偵測到2025年前10個月與VS Code相關的惡意軟體，已從2024年的27增加到105。研究人員建議，安裝擴充套件前應審視其來源與可信度訊號，並將相依內容一併納入稽核與掃描流程，以降低開發環境遭供應鏈手法滲透的機率。