【安全资讯】VSCode扩展发现下载早期勒索软件

概要：

近期，研究人员发现两款恶意的VSCode Marketplace扩展正在下载开发中的勒索软件，暴露了微软审核流程中的重大漏洞。这一事件不仅影响了少量用户，也引发了对微软安全审查机制的广泛关注。

主要内容：

这两款扩展分别名为"ahban.shiba"和"ahban.cychelloworld"，在被移除之前分别被下载了七次和八次。它们于2024年10月27日和2025年2月17日上传至VSCode Marketplace，成功绕过了安全审核流程，并在微软的商店中存在了相当长的时间。研究机构ReversingLabs发现，这些扩展包含一个PowerShell命令，能够从远程服务器下载并执行作为勒索软件的另一个PS脚本。

该勒索软件显然处于开发或测试阶段，仅加密位于C:\users\%username%\Desktop\testShiba文件夹中的文件，并未影响其他文件。加密完成后，脚本会显示一个Windows警告，提示用户“您的文件已被加密。支付1个ShibaCoin到ShibaWallet以恢复文件。”与常见的勒索软件攻击不同，这里没有提供赎金说明或进一步的指示。

在研究人员报告后，微软迅速将这两款扩展从VSCode Marketplace中移除。然而，ExtensionTotal的安全研究员Italy Kruk表示，他们的自动扫描器早在此之前就已捕获到这些扩展并通知了微软，但未收到回应。Kruk指出，"ahban.cychelloworld"在初次上传时并不具恶意，直到其第二次提交时才添加了勒索软件代码，这一版本在2024年11月24日被接受。此事件显示出微软审核流程中的严重缺陷，尽管在此案例中微软反应迟缓，但近期却因可疑的混淆代码迅速移除了使用人数达900万的VSCode主题，导致了不必要的道歉和发布者的禁令。