Nghiên cứu mới đã phát hiện ra rằng các nhà phát hành của hơn 100 tiện ích mở rộng Visual Studio Code (VS Code) đã làm lộ các access token có thể bị kẻ xấu lợi dụng để cập nhật các tiện ích mở rộng, gây ra rủi ro nghiêm trọng cho chuỗi cung ứng phần mềm.
“Một VSCode Marketplace hoặc Open VSX PAT [personal access token] bị rò rỉ cho phép kẻ tấn công trực tiếp phân phối bản cập nhật tiện ích mở rộng độc hại trên toàn bộ cơ sở cài đặt,” nhà nghiên cứu bảo mật Wiz Rami McCarthy cho biết trong một báo cáo chia sẻ với The Hacker News. “Một kẻ tấn công phát hiện ra vấn đề này đã có thể trực tiếp phân phối malware đến tổng cộng 150.000 lượt cài đặt.”
Công ty bảo mật đám mây lưu ý rằng trong nhiều trường hợp, các nhà phát hành đã không tính đến việc các tiện ích mở rộng VS Code, mặc dù được phân phối dưới dạng các file .vsix, có thể được giải nén và kiểm tra, làm lộ các hard-coded secrets được nhúng trong đó.
Tổng cộng, Wiz cho biết họ đã tìm thấy hơn 550 secrets được xác thực, phân phối trên hơn 500 tiện ích mở rộng từ hàng trăm nhà phát hành khác nhau. 550 secrets này được phát hiện thuộc 67 loại secrets khác nhau, bao gồm -
- AI provider secrets, như những secrets liên quan đến OpenAI, Gemini, Anthropic, XAI, DeepSeek, Hugging Face và Perplexity
- Cloud service provider secrets, như những secrets liên quan đến Amazon Web Services (AWS), Google Cloud, GitHub, Stripe và Auth0
- Database secrets, như những secrets liên quan đến MongoDB, PostgreSQL và Supabase
Wiz cũng lưu ý trong báo cáo của mình rằng hơn 100 tiện ích mở rộng đã làm lộ VS Code Marketplace PATs, chiếm hơn 85.000 lượt cài đặt. 30 tiện ích mở rộng khác với tổng số lượt cài đặt không dưới 100.000 đã bị phát hiện làm lộ Open VSX Access Tokens. Một phần đáng kể các tiện ích mở rộng bị gắn cờ là themes.
Với Open VSX cũng được tích hợp vào các VS Code fork hỗ trợ AI như Cursor và Windsurf, các tiện ích mở rộng làm lộ access token có thể mở rộng đáng kể bề mặt tấn công.
Trong một trường hợp, công ty cho biết họ đã xác định một VS Code Marketplace PAT có thể cho phép đẩy malware có mục tiêu đến lực lượng lao động của một tập đoàn lớn của Trung Quốc trị giá 30 tỷ USD, cho thấy vấn đề cũng mở rộng sang các tiện ích mở rộng nội bộ hoặc dành riêng cho nhà cung cấp được các tổ chức sử dụng.
Sau khi tiết lộ có trách nhiệm với Microsoft vào cuối tháng 3 và tháng 4 năm 2025, nhà sản xuất Windows đã thu hồi các PAT bị rò rỉ và thông báo rằng họ đang bổ sung secret scanning capabilities để chặn các tiện ích mở rộng có secrets đã được xác minh và thông báo cho các nhà phát triển khi secrets được phát hiện.
Người dùng VS Code được khuyến cáo nên hạn chế số lượng tiện ích mở rộng đã cài đặt, kiểm tra kỹ lưỡng các tiện ích mở rộng trước khi tải xuống và cân nhắc ưu nhược điểm của việc bật tự động cập nhật. Các tổ chức được khuyến nghị phát triển một kho lưu trữ tiện ích mở rộng để phản ứng tốt hơn với các báo cáo về tiện ích mở rộng độc hại và xem xét một allowlist tập trung cho các tiện ích mở rộng.
“Vấn đề này làm nổi bật những rủi ro tiếp diễn của các tiện ích mở rộng và plugin, cũng như bảo mật chuỗi cung ứng nói chung,” Wiz cho biết. “Nó tiếp tục xác nhận ấn tượng rằng bất kỳ kho package nào cũng tiềm ẩn nguy cơ rò rỉ secrets hàng loạt.”
TigerJack nhắm mục tiêu VS Code Marketplace bằng các tiện ích mở rộng độc hại
Sự phát triển này diễn ra khi Koi Security tiết lộ chi tiết về một tác nhân đe dọa có tên mã TigerJack đã được cho là đã phát hành ít nhất 11 tiện ích mở rộng VS Code độc hại trông có vẻ hợp pháp bằng cách sử dụng nhiều tài khoản nhà phát hành kể từ đầu năm 2025 như một phần của chiến dịch “phối hợp, có hệ thống”.
“Hoạt động dưới các danh tính ab-498, 498 và 498-00, Tiger-Jack đã triển khai một kho vũ khí tinh vi: các tiện ích mở rộng đánh cắp mã nguồn, đào cryptocurrency và thiết lập các remote backdoors để kiểm soát hệ thống hoàn toàn,” nhà nghiên cứu bảo mật Tuval Admoni cho biết.
Hai trong số các tiện ích mở rộng độc hại – C++ Playground và HTTP Format – đã thu hút hơn 17.000 lượt tải xuống trước khi bị gỡ bỏ. Tuy nhiên, chúng vẫn tiếp tục có sẵn trên Open VSX, với tác nhân đe dọa cũng đã tái xuất bản cùng một mã độc hại vào ngày 17 tháng 9 năm 2025, dưới tên mới trên VS Code Marketplace sau khi bị gỡ bỏ.
Điều đáng chú ý về các tiện ích mở rộng này là chúng cung cấp chức năng đã hứa, điều này tạo vỏ bọc hoàn hảo cho các hoạt động độc hại của chúng không bị phát hiện bởi các nhà phát triển không nghi ngờ có thể đã cài đặt chúng.
Cụ thể, tiện ích mở rộng C++ Playground đã được phát hiện có khả năng ghi lại keystrokes gần như theo thời gian thực thông qua một listener được kích hoạt sau độ trễ 500 mili giây. Mục tiêu cuối cùng là đánh cắp các file mã nguồn C++. Mặt khác, tiện ích mở rộng HTTP Format chứa mã độc để chạy miner CoinIMP và âm thầm đào cryptocurrency bằng cách lạm dụng tài nguyên hệ thống.
Ba tiện ích mở rộng khác được TigerJack xuất bản dưới bí danh "498," cụ thể là cppplayground, httpformat và pythonformat, làm tăng thêm rủi ro bằng cách tích hợp khả năng hoạt động như một backdoor bằng cách tải xuống và chạy arbitrary JavaScript từ một server bên ngoài ("ab498.pythonanywhere[.]com") cứ sau 20 phút.
“Bằng cách kiểm tra các hướng dẫn mới cứ sau 20 phút và sử dụng eval() trên mã được tải từ xa, TigerJack có thể đẩy bất kỳ malicious payload nào một cách linh hoạt mà không cần cập nhật tiện ích mở rộng – đánh cắp credentials và API keys, triển khai ransomware, sử dụng các máy tính của nhà phát triển bị xâm nhập làm điểm truy cập vào mạng công ty, inject backdoors vào các dự án của bạn hoặc giám sát hoạt động của bạn theo thời gian thực,” Admoni lưu ý.
Koi Security cũng chỉ ra rằng hầu hết các tiện ích mở rộng này ban đầu là các công cụ hoàn toàn vô hại trước khi các sửa đổi độc hại được đưa vào, một trường hợp điển hình của phương pháp Trojan horse. Điều này mang lại một số lợi thế, vì nó cho phép tác nhân đe dọa thiết lập tính hợp pháp và thu hút người dùng.
Hơn nữa, nó cũng có thể đánh lừa một nhà phát triển đã kiểm tra tiện ích mở rộng trước khi cài đặt, vì tác nhân đe dọa có thể đẩy một bản cập nhật sau đó để xâm phạm môi trường của họ.
Vào tháng 6 năm 2025, Microsoft cho biết họ có một quy trình nhiều bước để giữ cho VS Code marketplace không có malware. Điều này bao gồm việc quét ban đầu tất cả các package đến để tìm hành vi run-time độc hại trong một sandbox environment, cũng như quét lại và quét định kỳ toàn bộ marketplace để “đảm bảo mọi thứ vẫn an toàn.”
Tuy nhiên, các biện pháp bảo vệ bảo mật này chỉ áp dụng cho VS Code Marketplace, chứ không phải các registry khác như Open VSX, có nghĩa là ngay cả khi tiện ích mở rộng độc hại bị xóa khỏi nền tảng của Microsoft, các tác nhân đe dọa có thể dễ dàng chuyển sang các giải pháp thay thế kém an toàn hơn.
“Bức tranh bảo mật bị phân mảnh trên tất cả các marketplace tạo ra những điểm mù nguy hiểm mà các tác nhân đe dọa tinh vi đang khai thác,” công ty cho biết. “Khi bảo mật hoạt động trong các silo, các mối đe dọa đơn giản là di chuyển giữa các nền tảng trong khi các nhà phát triển vẫn không hề hay biết về sự phơi nhiễm.”
