9 月 2 日消息,安全公司 ReversingLabs 发文,透露微软 VS Code 插件市场存在一项“鸠占鹊巢”式的逻辑漏洞,也就是黑客冒充已移除的插件,上传同名的恶意插件,以欺骗不知情的用户下载。实际上相应漏洞此前已出现在 PyPI 等平台,而目前 ReversingLabs 经过测试,发现 VS Code 市场实际上也存在这种漏洞。
ReversingLabs 举例称,该公司在 6 月时检测到有黑客上传一项名为 ahbanC.shiba 的恶意插件,其中内含勒索软件。经研究,他们发现这款插件实际上是“冒名顶替”此前被移除的“ahban.shiba 插件”。
后续,该安全公司进一步分析 VS Code 插件市场逻辑,发现当开发者将某个插件移除(Remove)时,其他开发者就可以重新使用该插件的名称发布新插件;但如果开发者选择下架(Unpublish)插件,虽然相应插件不再公开可见,但其他开发者便无法使用相同名称上架新插件“鸠占鹊巢”。据此,安全公司强调插件开发者若计划废弃自己较受欢迎的插件时,应当选择“下架”,避免给予黑客可乘之机。
