承认吧,你的代码可能已经被“偷”了。
就在你眼皮子底下,在你敲代码敲得正嗨的时候,你的每一个文件、每一次按键,甚至是你公司最核心的机密,正在源源不断地被传送到地球另一端的服务器上。
这不是危言耸听。
两个看起来完美无缺、功能强大、好评如潮的 VS Code 插件,刚刚完成了一场可能是史上最狡猾的供应链攻击。
受害者高达 150 万人。
如果你是一个开发者,大概率你也装过这玩意儿。
它们不是那种一装上就让你电脑卡死、弹窗满天飞的垃圾病毒。不,它们的高明之处就在于——它们真的很好用。
它们打着“AI 编程助手”的旗号,确实能给你提供精准的代码建议,确实能帮你改 Bug。它们用“好用”换取了你的信任,然后反手就在你背后捅了一刀。
今天,我要扒开这个名为“恶意柯基(MaliciousCorgi)”攻击的画皮,让你看看现代黑客是怎么把程序员当猴耍的。
完美的伪装:它们是真的“好用”
这才是最让人细思极恐的地方。
这两个插件——“ChatGPT — 中文版” 和 “ChatMoss”——不是那种只会 Hello World 的半成品。
你装上它,问它代码问题,它对答如流;让它补全代码,它精准无比。一切都像正经的 AI 助手一样。
这就是黑客的高明之处:功能就是最好的迷彩。
当一个工具能帮你干活时,你就会放下戒心。你会给它打五星好评,你会推荐给同事,你会觉得“真香”。
这两个插件就这么大摇大摆地挂在微软官方的 VS Code 商店里,骗过了所有的安全审查,攒了上百万的下载量,然后静静地等着收割你的数据。
三管齐下:一场精心策划的盗窃
当你还在感叹 AI 真好用的时候,这两个插件已经在后台悄悄开启了三个“数据抽水泵”。
通道 1:实时监控(你打开的文件,就是它的文件)
只要你在 VS Code 里打开了一个文件(注意,甚至不需要编辑,只要打开!),插件就会立马读取全文,打包成 Base64 编码,发到一个隐藏的 iframe 里。
你辛苦写了几周的 API 接口?偷走。 你那价值连城的算法核心?偷走。 你写在注释里的那些见不得人的 Hack 技巧?统统偷走。
通道 2:远程遥控(想偷啥就偷啥)
这不仅仅是被动监控,它是可以被远程控制的。
黑客只需要发一个指令:{“type”: “getFilesList”},插件就会像个听话的间谍,把你工作区里的文件打包发走。
而且它们很聪明,专门挑值钱的偷:
.env 文件(里面全是你的 API Key 和数据库密码!)
图片?不要。代码?全要!这简直就是精准打击。
通道 3:给你做“用户画像”
它们不仅偷你的代码,还要扒你的底裤。
插件里藏着一个看不见的 iframe,里面加载了诸葛io、GrowingIO、TalkingData、百度统计等一堆商业分析工具。
它们在分析你是谁,你在哪,你在哪家公司上班,你是不是大厂的高级工程师。
为什么要这么做?为了筛选“肥羊”。如果你是在独角兽公司工作的核心开发,恭喜你,你的代码会获得 VIP 级别的优先窃取待遇。
为什么微软没发现?
因为现在的恶意软件变聪明了。
微软的安全扫描会查病毒特征,会查异常行为。但这两个插件的代码逻辑看起来完全正常——AI 助手本来就需要读取文件才能工作啊!
“功能正常”成了它们最好的护身符。
这就是新的现实:恶意软件不再长得像坏人,它们长得像你的得力助手。
更可怕的是:这只是冰山一角
这不仅仅是 VS Code 的问题。这是一场针对开发者生态的全方位围剿。
- npm 生态被蠕虫病毒 Shai-Hulud 攻陷。
- PackageGate 漏洞让黑客可以绕过锁定文件直接执行恶意代码。
黑客们已经意识到:直接攻击生产环境太难了,不如攻击程序员的电脑。
你的包管理器、你的 IDE、你的构建工具,全都是他们眼中的肥肉。而这些工具的设计初衷是为了方便,而不是安全。
救命指南
如果你装了 VS Code,别愣着了,赶紧行动:
第一步:自查(生死攸关)
打开你的插件列表,搜索:
- ChatGPT — 中文版 (发布者: WhenSunset)
- ChatMoss 或 CodeMoss (发布者: zhukunpeng)
如果有,立刻卸载!一秒都别犹豫!
第二步:默认自己已经“裸奔”了
如果你不幸中招了,请假设你电脑里所有的密码都已经泄露。
- 吊销并重新颁发所有云服务凭证(AWS, 阿里云, 腾讯云等)。
我知道这很痛苦,但总比过几个月发现有人用你的 AWS 账号挖矿,或者你的核心代码出现在竞品手里要强。
第三步:清理门户
检查你所有的插件。
最后
直到2026年1月26日,这两个恶意插件居然还在商店里挂着!虽然后续会被处理,但伤害已经造成了。
你的开发环境,就是你的阵地。别再随意安装来路不明的插件了,别再因为“好用”就交出你的权限。
下一次,中招的可能不只是那150万人。可能就是你。
你的团队是怎么审核插件的?评论区聊聊,让我看看有多少人在裸奔。
10个月宝宝每天需要喝多少奶粉?
