网络犯罪分子利用 Visual Studio Marketplace 进行供应链攻击，揭示 Aqua Security

在Aqua Security研究人员最近的爆料中，发现网络攻击者正在利用Visual Studio Marketplace发起供应链攻击。这些攻击涉及冒充流行的VS Code扩展，诱骗开发人员下载这些扩展的恶意软件感染版本。

Visual Studio Code是一种广泛使用的集成开发环境 (IDE)，约占全球开发人员使用量的 74.48%。该平台的大量扩展极大地促进了它在开发者社区中的流行。

根据Aqua Security的安全研究员Ilay Goldman说法，区分真正的扩展和恶意扩展的挑战对即使是最注重安全的开发人员来说也是一个重大风险。事实上，几乎任何人都可以使用临时电子邮件创建帐户，这进一步加剧了这种情况，使网络犯罪分子能够快速轻松地发布最终在Marketplace上列出的恶意扩展。

在他们的报告中， Aqua Security上传了一个概念验证，展示了恶意扩展如何冒充合法扩展。这个特殊案例涉及在 URL 中使用“域名仿冒”（使用简单的拼写错误）。 Goldman 解释说，当输入单词“pretier”而不是正确的“prettier”时，只会出现伪装扩展名。

此外，研究人员对Marketplace的验证过程提出了担忧，其中显示的蓝色复选标记不是为了验证作者的真实身份，而是为了确认发布者对任何域的所有权。该漏洞可能会危及用户对平台的信任，并使他们面临更高级别的风险。

恶意包经常会进入NPM等包管理器。 Aqua Security提到合法扩展开发人员可能会无意中将恶意依赖项合并到他们的工作中，从而危及它。

这项研究的结果强调了开发人员越来越需要彻底审查他们安装的扩展和他们使用的包。此外，对于像Visual Studio Marketplace这样的平台来说，改进他们的验证过程并为用户维护一个安全的环境是至关重要的。

在这个快速发展的数字环境中，像 appmaster.io > AppMaster 这样的no-code和low-code开发平台提供了一种简化的方法来创建安全、可扩展的应用程序。借助 AppMaster 的综合平台，用户可以为后端、Web 和移动应用程序创建可视化设计的数据模型、业务流程和endpoints 。一种警惕的应用程序安全方法，结合使用可靠的平台，如 appmaster.io> AppMaster ，将大大有助于应对新出现的网络威胁和确保应用程序开发的安全性。