4 月 21 日,慢霧科技首席信息安全官 23pds 通過轉發 X 平臺用戶 @mrdotparasyte 的帖子警示廣大開發者,在安裝第三方插件或包時務必提高警惕。
目前有一款名為 JuanFranBlanco.solidit-vscode 的可疑 VSCode 插件,且插件 Identifier 中的「solidit」為明顯拼寫錯誤。該插件已存在兩三天,目前尚不清楚有多少開發者不慎「中招」。當前,針對開發者的供應鏈攻擊現象愈發氾濫,特別是未經官方審核的 VSCode 插件、npm 包等,已成為此類攻擊的重災區。
