其他
小心你的VS Code 扩展!
任何人都可以注册成为扩展发布者,甚至使用一个新的一次性电子邮件地址。
扩展的扩展名称和发布者名称不必是唯一的,可以复制现有名称。在给出的例子中,研究人员以流行的 VSCode 扩展 Prettier 为例,创建了一个伪装的新扩展。仔细查看 URL 可发现,区别在于发布者名称(esbenp 与 espenp)和扩展名(prettier-vscode 与 pretier-vscode)。当用户正确搜索 Prettier 扩展时,该模拟扩展出现在第 26 位,风险很低。但如果开发人员无意中错误输入为 “pretier” 时,该伪装扩展则是唯一的搜索结果。
发布者的蓝勾仅证明对一个域的所有权。“发布者可以购买任何域名并注册它以获得那个验证的勾号。”
下载和评论的数量是有用的,但这些东西可以编排和伪造。
同样重要的是要注意 VSCode 扩展是用 Node 编写的,并且包是从 NPM 下载的,从而还一直存在着恶意代码包被上传到 NPM 等软件包管理器的威胁。因此存在这样的实际风险:即不知情的合法开发人员可能会在不知不觉中使用来自 NPM 的恶意包作为其扩展的依赖项,从而导致整个扩展遭到破坏,并在不知不觉中危及社区。
除了 VSCode 扩展,Marketplace 还提供 Visual Studio 和 Azure DevOps 的扩展;它们也存在同样的风险,不过研究人员暂时还未追踪到相关线索。“像往常一样,对你安装的扩展保持警惕,并记住每个扩展都是以用户的权限运行的。”
往期推荐
周热点 | 2023.01.03-2013.01.09
Linux发行版新秀:基于Ubuntu、系统核心 “不可变”
curl作者收下社区成员赠送的Mac mini,将用于curl开发
这里有最新开源资讯、软件更新、技术干货等内容
点这里 ↓↓↓ 记得 关注✔ 标星⭐ 哦~