駭客上架有問題的VS Code擴充套件，意圖散布勒索軟體

繼NPM、PyPI套件庫成為駭客偏好散布惡意軟體的管道後，有人也鎖定微軟開源IDE編輯器Visual Studio Code（VS Code）的擴充套件下手，於市集上架惡意套件散布勒索軟體。

資安業者ReversingLabs發現兩個惡意套件ahban.shiba、ahban.cychelloworld，並指出開發人員如果在自己的電腦部署這些套件，電腦就有可能被植入勒索軟體。他們向VS Code市集通報此事，這些套件已經下架。

研究人員分析套件的內容，發現內含與PowerShell命令有關的程式碼，功能是從C2下載PowerShell指令碼型態的有效酬載，並於受害電腦執行。

而這個有效酬載應該就是勒索軟體，會在受害電腦的桌面名為testShiba的資料夾當中加密檔案，完成後顯示勒索訊息，要求開發人員支付1個加密貨幣ShibaCoin贖金，換取復原檔案的金鑰。不過，駭客並未提供加密貨幣錢包資訊，因此研究人員推測，很有可能還有其他帶有這類資訊的新版有效酬載。

值得留意的是，這些惡意套件可能上架接近4個月之久，才被發現有問題。資安新聞網站Bleeping Computer指出，資安研究員Italy Kruk透露他們在去年11月底就偵測到ahban.cychelloworld有問題並通報，但因為套件下載次數相當少，微軟並未優先進行處理。駭客後來又上傳了5個版本，而且全數通過微軟的審核流程。對比微軟最近不慎下架近9百萬人下載的套件，針對這兩種誤判，Bleeping Computer認為，微軟可能必須調整相關機制來因應。