| OpenVSX | VS Code | 蠕蟲 | GlassWorm
蠕蟲程式GlassWorm入侵Open VSX開發人員帳號,藉由推送惡意更新攻擊Mac用戶
資安公司Socket揭露今年第一波GlassWorm惡意程式攻擊,他們指出這些駭客與過往最大的不同,就是挾持正牌開發團隊的Open VSX帳號,並對用戶派送惡意更新來散布惡意軟體
2026-02-04
| Clawdbot | VS Code | ScreenConnect | RMM
惡意VS Code延伸套件偽裝成Clawdbot,開發者電腦恐遭遠端完全控制
爆紅的開源AI代理專案Clawdbot(現已更名為Moltbot)也成為駭客發動攻擊的幌子,最近有人以此在延伸套件市集Visual Studio Code Marketplace上架惡意套件,意圖部署遠端管理工具,藉此控制受害者的開發環境
2026-01-29
| VS Code | Visual Studio Marketplace | AI程式開發助理 | MaliciousCorgi | 程式碼洩漏
兩款VS Code AI程式開發助理延伸套件遭指洩漏資料,安裝量合計約150萬
兩款VS Code AI延伸套件遭指未告知開發者就讀取工作區檔案,並由伺服器端遠端觸發批次蒐集,單次最多蒐集50個檔案,同時監控開發者行為資料並回傳至位於中國的伺服器
2026-01-27
| VS Code | GitHub Copilot | Agent Skills | 代理工作階段
VS Code 1.108新增Agent Skills,讓Copilot代理可載入工作區技能
VS Code 1.108導入Agent Skills,代理可依需求載入SKILL.md的指引、腳本與資源,更快掌握團隊開發脈絡,同時該版本還調整終端機工具的自動核准規則與殼層歷史紀錄寫入機制
2026-01-13
| VS Code | 惡意擴充套件 | 供應鏈攻擊 | LOLBin
惡意VS Code擴充套件上架微軟市集,偽裝PNG檔藏匿木馬
研究人員發現VS Code市集19款惡意擴充套件,表面提供開發工具,實際在安裝包內夾帶木馬,並把惡意程式偽裝成PNG檔藏匿,於VS Code啟動時執行
2025-12-16
| VS Code | GitHub Copilot | Agent HQ | 背景代理 | Git worktree
VS Code強化代理工作流程,Chat內整合工作階段並支援背景持續執行
新版VS Code把代理工作階段整合進Chat,關閉對話仍可持續執行,並加入Continue in交辦流程、Git worktree隔離修改,以及Agent HQ集中管理代理
2025-12-15
| VS Code | 擴充套件 | Bitcoin Black | Codo AI | Lightshot DLL劫持
VS Code市集兩擴充套件暗藏惡意程式竊取WiFi密碼與Cookie
兩款上架VS Code市集的主題與AI擴充套件被發現暗藏惡意程式,會截圖並讀取WiFi密碼與瀏覽器Cookie竊取帳號,目前已從市集下架
2025-12-12
| TypeScript 7 | 原生編譯 | Go | VS Code | JSDoc 型別檢查
TypeScript 7編譯速度可達10倍,微軟定調6.0為最後JavaScript版
微軟更新TypeScript 7原生開發進度,Go版編譯器與語言服務已可在實務專案使用,編譯速度提升可達10倍,並確認6.0為最後JavaScript版
2025-12-05
| VS Code | Agent HQ | GitHub Copilot | AI程式開發 | MCP伺服器 | AI-Assisted IDE
微軟更新VS Code加入Agent HQ,統一管理AI代理與Copilot
VS Code 1.106導入Agent HQ集中管理本機與雲端人工智慧代理,並整併Copilot擴充元件為單一Chat介面,同時強化工具核准、安全控管與MCP企業治理,讓人工智慧程式開發流程更清楚可控
2025-11-17
| 軟體套件蠕蟲 | 蠕蟲 | GlassWorm | OpenVSX | Unicode PUA | VS Code
蠕蟲程式GlassWorm再度於Open VSX現身,惡意套件被下載近1萬次
資安業者Koi Security發現開源延伸套件市集Open VSX再度遭蠕蟲程式GlassWorm侵門踏戶,這次攻擊者透過3款惡意套件散布蠕蟲,總下載次數已接近1萬
2025-11-10