VSCode等多款主流 IDE 爆出安全漏洞!插件“伪装认证”可执行恶意命令!

大家好,这里是架构资源栈 !点击上方关注,添加"星标",一起学习大厂前沿架构!

关注、发送C1即可获取JetBrains全家桶激活工具和码!

近日,安全研究人员披露了一项影响广泛的安全漏洞:多个主流集成开发环境(IDE)存在插件验证机制缺陷,攻击者可伪装成"已验证插件",在开发者电脑上执行任意命令

受影响的软件包括 Visual Studio Code、Visual Studio、IntelliJ IDEA、Cursor 等流行开发工具。

🎯 漏洞原理:验证机制被"借壳利用"

安全公司 OX Security 指出,攻击者可以通过伪造插件身份,将恶意扩展"披上"官方插件的认证外衣,使其在 UI 界面上显示为可信来源。具体流程如下:

  • 恶意插件伪造与某个已验证插件(如 Microsoft 官方插件)相同的验证字段;
  • 插件安装后,通过 VS Code 发送到 marketplace.visualstudio.com 的请求仍然返回"已认证"状态;
  • 即使插件实际来源是第三方 VSIX 文件,也可"伪装"成来自官方源;
  • 插件内部可隐藏执行操作系统命令的逻辑,如运行计算器、上传文件、远程控制等。

这相当于"披着官方马甲的木马"。

🧪 实战复现:一键弹出系统应用

研究人员构建了一个 PoC(概念验证)插件,只需双击安装,即可在用户不知情的情况下运行如下命令:

shell 复制代码
start calc.exe

这说明该恶意插件可以直接在宿主机器上执行系统命令,权限与当前登录用户一致,危害不容小觑。

🧠 漏洞可跨平台复现:不只是 VS Code

OX Security 还证实,该方法同样适用于 IntelliJ IDEA 和 Cursor 等其他 IDE。也就是说,这是一个 IDE 生态普遍存在的问题,不再是某个厂商的"个别问题"。

研究人员通过修改 VSIX/ZIP 安装包内的特定字段,实现了在多个平台下绕过认证检测。

🛡️ 微软回应:我们这是"设计如此"?

面对安全披露,微软表示该行为"符合设计初衷",并指出:

  • 虽然 VSIX 文件可以绕过平台发布检测,但默认 Marketplace 不允许上传未签名插件
  • 当前的签名校验机制将在未来进一步强化,确保无法绕过上传。

然而,研究团队在 2025 年 6 月 29 日仍成功复现该漏洞,说明其影响仍在。

⚠️ 安全风险解析

这类漏洞的本质属于侧载(sideloading)插件攻击

风险点 描述说明
验证机制被绕过 开发者以为是官方认证,实则是伪造身份
插件可执行系统命令 相当于给了攻击者一张远程执行门票
VSIX 文件无需签名即可安装 本地安装时缺少可信验证链
GitHub 等渠道传播广泛 很多开发者习惯从 GitHub 拉插件,风险更高

由于 IDE 通常与 Git 仓库、密钥、SSH 凭据等敏感资源打交道,攻击者若得手,后果极为严重。

✅ 安全建议

为了防范这类风险,开发者和组织应注意以下几点:

  • 避免使用来路不明的 VSIX 插件安装包
  • 只从官方插件市场下载安装插件
  • 启用 IDE 的扩展签名校验和"仅允许已签名插件"选项;
  • 企业级开发环境建议统一插件源并开启白名单机制;
  • 安装插件前务必检查源码、作者、发布记录等信息;

📌 总结:别轻信"绿色认证勾",你的 IDE 可能暗藏"后门"

这次事件再次证明:"已验证"图标不能成为信任的唯一依据。恶意插件完全可以冒充正规来源,在毫无感知的情况下"悄悄做坏事"。

面对日益复杂的 IDE 扩展生态,开发者更应保持警惕,避免为攻击者打开通往源代码和密钥的大门。


本文由博客一文多发平台 OpenWrite 发布!

相关推荐
掉鱼的猫3 分钟前
Java MCP 实战:构建跨进程与远程的工具服务
java·openai·mcp
我爱Jack33 分钟前
时间与空间复杂度详解:算法效率的度量衡
java·开发语言·算法
米饭「」35 分钟前
C++AVL树
java·开发语言·c++
Zonda要好好学习42 分钟前
Python入门Day4
java·网络·python
SimonKing1 小时前
告别传统读写!RandomAccessFile让你的Java程序快人一步
java·后端·程序员
Little-Hu1 小时前
QML TextEdit组件
java·服务器·数据库
Edingbrugh.南空2 小时前
Flink ClickHouse 连接器数据读取源码深度解析
java·clickhouse·flink
NE_STOP2 小时前
SpringBoot--简单入门
java·spring
hqxstudying2 小时前
Java创建型模式---原型模式
java·开发语言·设计模式·代码规范