恶意扩展可滥用 VS Code 漏洞窃取认证令牌

2025-11-26 22:30:21分类：物联网阅读(739)

微软的恶意 Visual Studio Code (VS Code) 代码编辑器存在一个漏洞，允许恶意扩展程序检索 Windows 、扩展可滥Linux 和 macOS 中存储的洞窃身份验证令牌。

这些令牌用于集成各种第三方服务和 API ，证令如 Git、恶意GitHub 和其他编码平台，扩展可滥因此窃取这些令牌可能会对数据安全造成重大影响，洞窃导致未经授权的证令系统访问  、数据泄露等。恶意

Cycode 研究人员发现了这个漏洞
，扩展可滥并将其连同他们开发的洞窃概念验证（PoC）报告给了微软。然而，证令微软并没有修复它的源码下载恶意打算 ，因为扩展程序不应该与其他环境隔绝 。扩展可滥

利用扩展窃取机密

Cycode 发现的洞窃安全问题是由于 VS Code 的 "秘密存储"（Secret Storage）缺乏对身份验证令牌的隔离造成的，该 API 允许扩展在操作系统中存储身份验证令牌  。这需要使用 Keytar，即 VS Code 与 Windows 凭据管理器（Windows） 、钥匙串（macOS）或钥匙圈（Linux）通信的封装程序
。

这意味着在 VS Code 中运行的任何扩展，甚至是亿华云恶意扩展，都可以访问秘密存储器 ，并滥用 Keytar 来检索任何存储的令牌。

发现这个问题后 ，Cycode 的研究人员开始尝试创建一个恶意扩展来窃取 CircleCI 的令牌 ，CircleCI 是一个使用 VS Code 扩展的流行编码平台。他们通过修改 CircleCI 的扩展来运行一条命令，从而暴露其安全令牌，甚至直接将其发送到研究人员的服务器上  。源码库

渐渐地，他们开发出了一种用途更广的攻击方法，可以在不篡改目标扩展代码的情况下提取这些机密 。

此过程的关键是发现任何 VS Code 扩展都有权访问钥匙串 ，因为它是在操作系统已经授权访问钥匙串的应用程序内运行的 。

"我们开发了一个概念验证恶意扩展 ，它不仅能从其他扩展中成功获取令牌 ，还能从 VS Code 的内置登录和同步功能中获取 GitHub 和微软账户的香港云服务器令牌，从而实现了 "令牌窃取 "攻击"。- Cycode.

Cycode 发现，用于加密令牌的算法是 AES-256-GCM ，这通常是安全的。然而 ，用于加密令牌的密钥是根据当前可执行路径和机器 ID 导出的
，因此很容易重新创建密钥 。

检索到的建站模板令牌通过在 VS Code 的 Electron 可执行文件中运行的自定义 JS 脚本进行解密，解密并打印本地安装的扩展的所有密码。

微软并未修复

Cycode 的分析师两个月前向微软披露了这个漏洞 ，甚至演示了他们的 PoC 扩展及其窃取存储扩展令牌的能力 。

然而，微软的工程师们并没有将此视为安全问题，并决定维持 VS Code 秘密存储管理框架的现有设计
。云计算

参考链接：https://www.bleepingcomputer.com/news/security/malicious-extensions-can-abuse-vs-code-flaw-to-steal-auth-tokens/