近日,安全领域知名企业ReversingLabs发布了一则安全警告,指出微软Visual Studio Code(VS Code)的插件市场中潜藏着一个逻辑安全漏洞,该漏洞允许黑客采取“李代桃僵”的手法,即冒充已被移除的插件,上传同名的恶意插件,诱骗不明真相的用户下载。
据悉,这一漏洞并非首次被发现,此前在Python包索引(PyPI)等其他平台上已有类似案例。ReversingLabs通过实际测试,确认了VS Code插件市场同样存在这一隐患。该公司在6月份就曾检测到一款名为ahbanC.shiba的恶意插件,内含勒索软件。经深入分析,研究人员发现这款插件实际上是顶替了之前已被移除的ahban.shiba插件。
进一步挖掘VS Code插件市场的逻辑机制后,ReversingLabs发现,当开发者选择移除(Remove)某个插件时,该插件的名称将变得可被其他开发者重新使用来发布新插件。然而,如果开发者选择下架(Unpublish)插件,虽然该插件将不再公开显示,但其名称将被保留,其他开发者无法使用该名称上架新插件。这一发现意味着,对于受欢迎的插件而言,开发者在决定废弃时应优先考虑下架操作,以避免给黑客留下可乘之机。
