Cảnh báo tiện ích VS Code bị cài mã độc, hàng triệu lập trình viên gặp nguy hiểm

[WhiteHat Team]

Visual Studio Code (VS Code), công cụ lập trình phổ biến nhất thế giới đang trở thành mục tiêu của một chiến dịch tấn công quy mô lớn. Các nhà nghiên cứu bảo mật vừa phát hiện ít nhất 12 extension độc hại trên marketplace của VS Code có khả năng đánh cắp mã nguồn, thông tin đăng nhập nhạy cảm và cài cắm cửa hậu điều khiển máy tính từ xa.

​

Điều đáng lo ngại là 4/12 extension độc hại vẫn đang hoạt động và có thể tải xuống công khai, khiến hàng triệu lập trình viên trên toàn cầu đứng trước nguy cơ bị xâm nhập mà không hề hay biết.

Theo báo cáo nghiên cứu được công bố trên nền tảng arXiv, nhóm chuyên gia đã phân tích 52.880 extension và phát hiện khoảng 5,6% có hành vi đáng ngờ, tương đương hàng nghìn tiện ích có khả năng gây hại. Tổng cộng, các plugin bị nhiễm đã ghi nhận hơn 613 triệu lượt cài đặt, trong đó có nhiều tiện ích ngụy trang dưới tên nghe rất “hợp lý” như:

• Christine-devops1234.scraper
• Kodease.fyp-23-s2-08
• GuyNachshon.cxcx123
• sahil92552.CBE-456

Các tiện ích này không chỉ thu thập mã nguồn dự án mà còn đánh cắp ID thiết bị, lịch sử tìm kiếm, nội dung clipboard, thậm chí cả ảnh chụp màn hình của quá trình lập trình.

Những plugin độc hại này sử dụng nhiều kỹ thuật tinh vi nhằm ẩn mình và đánh cắp dữ liệu mà không bị phát hiện. Chẳng hạn, extension "Christine-devops1234.scraper" gửi toàn bộ dữ liệu người dùng, bao gồm: Mã nguồn, truy vấn tìm kiếm và nội dung trò chuyện với AI đến máy chủ điều khiển tại địa chỉ IP 35.164.75.62:8080.

Một số khác, như "Kodease.fyp-23-s2-08", lại tận dụng dịch vụ Ngrok để chuyển dữ liệu ra ngoài thông qua đường hầm bảo mật HTTPS, giúp vượt qua tường lửa và cơ chế giám sát mạng.

Đặc biệt, các mã độc này không chỉ dừng ở việc đánh cắp dữ liệu mà còn cài cắm backdoor cho phép hacker điều khiển thiết bị từ xa:

• Plugin "teste123444212.teste123444212" duy trì kết nối liên tục tới máy chủ AWS EC2, cho phép hacker chạy lệnh trực tiếp trên máy nạn nhân.
• "ToToRoManComp.diff-tool-vsc" triển khai reverse shell mã hóa Base64, mở đường cho kẻ tấn công truy cập hệ thống qua cổng 445.
• "Deriv-AI.deriv-ai" còn tải xuống và kích hoạt trojan “nightpaw”, giúp thực hiện trinh sát hệ thống và duy trì quyền kiểm soát lâu dài.
• "BX-Dev.Blackstone-DLP" theo dõi hoạt động clipboard và chụp ảnh màn hình, gửi tất cả dữ liệu về máy chủ CloudFront do kẻ tấn công kiểm soát.

Vì đa số lập trình viên tin tưởng vào “chợ chính chủ của Microsoft” nên họ thường không nghi ngờ và cấp quyền truy cập đầy đủ vào hệ thống tệp và mạng, tạo cơ hội vàng cho mã độc hoạt động.

Các hậu quả tiềm tàng bao gồm:

• Rò rỉ mã nguồn của sản phẩm, dự án nội bộ hoặc mã độc quyền doanh nghiệp.
• Lộ thông tin truy cập hệ thống như token, key, mật khẩu hoặc tài khoản quản trị.
• Cài cắm mã độc ngầm, cho phép điều khiển thiết bị, chỉnh sửa code từ xa hoặc chèn lỗ hổng vào sản phẩm đang phát triển.
• Rủi ro lan truyền trong chuỗi cung ứng phần mềm, khi sản phẩm bị cài mã độc được triển khai đến hàng nghìn người dùng cuối.

Với hơn 600 triệu lượt cài đặt bị ảnh hưởng tiềm tàng, đây là một trong những sự cố an ninh nghiêm trọng nhất trong cộng đồng lập trình kể từ vụ NPM bị nhiễm mã độc.

Các chuyên gia khuyến cáo các tổ chức và lập trình viên ngay lập tức kiểm tra và rà soát toàn bộ extension đang sử dụng:

• Gỡ bỏ ngay các tiện ích có tên trùng hoặc tương tự với danh sách bị cảnh báo.
• Chỉ cài extension từ nhà phát triển uy tín, được xác minh chính thức.
• Kiểm tra mã nguồn extension trước khi cài đặt, đặc biệt với plugin có quyền truy cập tệp hoặc mạng.
• Cập nhật VS Code và extension thường xuyên để vá lỗ hổng bảo mật.
• Doanh nghiệp nên sử dụng chính sách whitelisting extension, chỉ cho phép cài đặt từ danh sách được phê duyệt nội bộ.

Trong thế giới phần mềm hiện đại, ngay cả môi trường phát triển cũng có thể trở thành mục tiêu tấn công. Lập trình viên giờ đây cũng cần học cách tự bảo vệ chính mình, không chỉ bằng kỹ năng lập trình mà còn bằng sự cảnh giác trước các tiện ích tưởng chừng vô hại.

WhiteHat​