超百款VS Code扩展泄露访问令牌,暴露严重供应链风险
💡
原文中文,约2400字,阅读约需6分钟。
📝
内容提要
超过100款VS Code扩展的访问令牌泄露,恶意攻击者可利用这些令牌更新扩展,导致软件供应链风险。研究发现550个密钥涉及多个平台。微软已撤销泄露的令牌并加强安全措施,建议用户限制扩展安装并仔细检查。TigerJack组织利用恶意扩展进行攻击,突显扩展安全风险。
🎯
关键要点
- 超过100款VS Code扩展泄露访问令牌,构成软件供应链风险。
- 泄露的访问令牌可使攻击者向用户分发恶意扩展更新。
- 发现超过550个密钥,涉及多个平台和服务。
- 微软已撤销泄露的令牌,并加强安全措施。
- 建议用户限制扩展安装并仔细检查。
- TigerJack组织利用恶意扩展进行系统化攻击。
- 恶意扩展具备合法功能,难以被用户察觉。
- 攻击者可动态推送恶意负载,窃取凭据和API密钥。
- 微软建立多步骤流程确保VS Code应用商店安全,但不适用于Open VSX等平台。
- 各应用商店之间的安全态势割裂形成危险盲区。
➡️
