超百款VS Code扩展泄露访问令牌,暴露严重供应链风险
💡
原文中文,约2400字,阅读约需6分钟。
📝
内容提要
超过100款VS Code扩展的访问令牌泄露,恶意攻击者可利用这些令牌更新扩展,导致软件供应链风险。研究发现550个密钥涉及多个平台。微软已撤销泄露的令牌并加强安全措施,建议用户限制扩展安装并仔细检查。TigerJack组织利用恶意扩展进行攻击,突显扩展安全风险。
🎯
关键要点
- 超过100款VS Code扩展泄露访问令牌,构成软件供应链风险。
- 泄露的访问令牌可使攻击者向用户分发恶意扩展更新。
- 发现超过550个密钥,涉及多个平台和服务。
- 微软已撤销泄露的令牌,并加强安全措施。
- 建议用户限制扩展安装并仔细检查。
- TigerJack组织利用恶意扩展进行系统化攻击。
- 恶意扩展具备合法功能,难以被用户察觉。
- 攻击者可动态推送恶意负载,窃取凭据和API密钥。
- 微软建立多步骤流程确保VS Code应用商店安全,但不适用于Open VSX等平台。
- 各应用商店之间的安全态势割裂形成危险盲区。
❓
延伸问答
VS Code扩展的访问令牌泄露会带来什么风险?
访问令牌泄露可能导致攻击者向用户分发恶意扩展更新,从而构成严重的软件供应链风险。
微软对此次访问令牌泄露采取了哪些措施?
微软已撤销泄露的令牌,并新增密钥扫描功能,以拦截含有已验证密钥的扩展。
用户应该如何保护自己免受恶意扩展的影响?
用户应限制扩展安装数量,仔细检查扩展,并权衡启用自动更新的利弊。
TigerJack组织是如何利用VS Code扩展进行攻击的?
TigerJack组织通过发布看似合法的恶意扩展,实施系统化攻击,窃取源代码和建立后门。
泄露的访问令牌涉及哪些平台和服务?
泄露的访问令牌涉及多个平台,包括OpenAI、亚马逊云服务、谷歌云等。
为什么恶意扩展难以被用户察觉?
恶意扩展通常具备合法功能,攻击者可以通过更新推送恶意负载,用户难以察觉异常。
➡️
