На официальном маркетплейсе Visual Studio Code были обнаружены два вредоносных расширения, маскирующихся под AI-ассистентов для программирования. По оценкам исследователей, их суммарно установили около 1,5 млн раз, при этом плагины незаметно пересылали исходный код и данные разработчиков на удалённые серверы в Китае.
AI-ассистенты, крадущие код: какие расширения оказались вредоносными
Под подозрение специалистов по кибербезопасности попали расширения ChatGPT — 中文版 (издатель WhenSunset, порядка 1,34 млн установок) и ChatMoss (издатель zhukunpeng, около 150 000 установок). Оба плагина декларировали функциональность AI-помощника для ускорения разработки и действительно предоставляли соответствующие возможности внутри VS Code.
Ключевая проблема в том, что ни в описании, ни в документации не упоминался масштабный сбор пользовательских данных. Расширения не информировали о передаче содержимого файлов, телеметрии поведения и технических характеристик устройств на внешние серверы. По данным исследователей, оба продукта связаны с одной и той же вредоносной кампанией, получившей название MaliciousCorgi, и используют общий код и единую инфраструктуру управления.
Кампания MaliciousCorgi: три механизма скрытой кражи данных
1. Сбор содержимого любых открываемых файлов
Первый и наиболее опасный механизм связан с перехватом действий внутри редактора. Как только пользователь открывает в VS Code любой файл — даже без редактирования, — расширение автоматически считывает весь его контент, кодирует данные в Base64 и отправляет их через скрытый фрейм в webview на удалённый сервер операторов.
Исследователи подчёркивают, что эксфильтрации подлежит не фрагмент текста, а полный файл целиком. Любые последующие изменения в этом файле также отслеживаются и повторно пересылаются злоумышленникам. Таким образом, расширения фактически превращаются в постоянный шпионский модуль в среде разработки.
2. Целенаправленная кража до 50 файлов по команде сервера
Второй механизм активируется по команде управляющей инфраструктуры кампании MaliciousCorgi. Вредоносные расширения могут в фоновом режиме выгрузить до 50 файлов из рабочего пространства VS Code за один запрос. Это позволяет злоумышленникам точечно забирать наиболее интересующие их проекты, репозитории или конфигурации, минимизируя шум и количество сетевого трафика.
3. Профилирование разработчиков через коммерческие аналитические SDK
Третий компонент атаки нацелен уже не столько на исходный код, сколько на сбор подробной информации о самих разработчиках. Внутри невидимого iframe нулевого размера в webview расширения загружаются коммерческие аналитические SDK: Zhuge.io, GrowingIO, TalkingData и Baidu Analytics.
Подобные инструменты используются в маркетинге и продуктовой аналитике для отслеживания поведения пользователей, построения поведенческих профилей и получения фингерпринтов устройств. В контексте IDE это позволяет злоумышленникам видеть, какие проекты открываются, как часто используется редактор, какие функции вызываются, а также собирать технические характеристики среды разработки.
Какие данные разработчиков оказываются под угрозой
Недокументированная активность расширений создаёт значительные риски как для индивидуальных разработчиков, так и для компаний. Под угрозой оказываются:
Приватный исходный код закрытых проектов, в том числе коммерческих продуктов, внутренних библиотек и прототипов.
Конфигурационные файлы и инфраструктурные настройки, которые могут содержать сведения о внутренней архитектуре систем, сервисах, эндпоинтах и сетевой топологии.
Учётные данные и секреты: файлы с параметрами подключения к базам данных, конфигурации облачных сервисов и, особенно, .env-файлы с API-ключами и паролями. Компрометация таких данных нередко приводит не только к утечке кода, но и к последующим взломам инфраструктуры.
Почему вредоносные расширения VS Code — критический риск цепочки поставок
Среды разработки давно рассматриваются злоумышленниками как высокоценные точки входа в инфраструктуру. Разработчики имеют доступ к репозиториям, CI/CD, облаку и внутренним системам. Расширения Visual Studio Code, распространяемые через официальный маркетплейс, по умолчанию вызывают высокий уровень доверия, что повышает эффективность атак по цепочке поставок (software supply chain attacks).
Подобные инциденты подчёркивают, что даже официальные каталоги расширений не гарантируют безопасность. По данным различных отчётов по безопасности разработческой экосистемы, злоумышленники всё чаще используют плагины, пакеты и зависимости как канал для внедрения вредоносного кода и шпионажа.
Практические меры защиты среды разработки и исходного кода
Установка только проверенных расширений. Следует отдавать предпочтение плагинам от известных поставщиков с прозрачной репутацией, большим количеством отзывов и открытым исходным кодом. Подозрительные AI-ассистенты от малоизвестных издателей должны вызывать вопросы, даже если выглядят удобными.
Минимизация прав и изоляция. По возможности имеет смысл разделять рабочие пространства и не открывать особо чувствительные проекты в средах с экспериментальными расширениями. Для критичных репозиториев целесообразно использовать отдельный профиль VS Code или отдельную машину/виртуальную среду.
Мониторинг сетевой активности. Организациям рекомендуется отслеживать исходящий трафик с машин разработчиков, выявлять аномальные запросы к неизвестным доменам и использовать DLP- и EDR-решения для фиксации попыток эксфильтрации данных.
Политики безопасности и обучение. Командам разработки важно внедрять внутренние политики по использованию расширений и зависимостей, а также регулярно обучать сотрудников рискам, связанным с вредоносными плагинами, особенно с AI-ассистентами и инструментами, требующими доступ к коду.
Инцидент с кампанией MaliciousCorgi показывает, насколько легко под видом полезного AI-ассистента внедрить в среду разработки полноценный шпионский модуль. Массовые установки и отсутствие явных признаков вредоносной активности делают такие расширения особенно опасными. Разработчикам и компаниям стоит пересмотреть подход к доверию расширениям VS Code, усилить контроль за используемыми инструментами и уделять больше внимания защите исходного кода и секретов. Чем раньше подобные практики станут стандартом, тем сложнее будет злоумышленникам превращать привычные инструменты разработки в канал утечки данных.
