Kiberbiztons\u00e1gi kutat\u00f3k k\u00e9t rosszindulat\u00fa Microsoft Visual Studio Code (VS Code) b\u0151v\u00edtm\u00e9nyt fedeztek fel , amelyeket mesters\u00e9ges intelligencia (MI) \u00e1ltal vez\u00e9relt k\u00f3dol\u00e1si asszisztensk\u00e9nt hirdetnek, de titkos funkci\u00f3kat is tartalmaznak, amelyekkel fejleszt\u0151i adatokat juttathatnak el k\u00ednai szerverekre.<\/p>\n\n\n\n
Az al\u00e1bbiakban felsoroljuk azokat a b\u0151v\u00edtm\u00e9nyeket, amelyek \u00f6sszesen 1,5 milli\u00f3 telep\u00edt\u00e9ssel rendelkeznek, \u00e9s tov\u00e1bbra is let\u00f6lthet\u0151k a hivatalos Visual Studio Marketplace- r\u0151l:<\/p>\n\n\n\n
ChatGPT \u2013 \u4e2d\u6587\u7248 (azonos\u00edt\u00f3: whensunset.chatgpt-china) \u2013 1 340 869 telep\u00edt\u00e9s
ChatGPT – ChatMoss\uff08CodeMoss\uff09(ID: zhukunpeng.chat-moss) – 151 751 telep\u00edt\u00e9s<\/p>\n\n\n\n
A Koi Security szerint a kiterjeszt\u00e9sek funkcion\u00e1lisak \u00e9s a v\u00e1rt m\u00f3don m\u0171k\u00f6dnek, de minden megnyitott f\u00e1jlt \u00e9s minden forr\u00e1sk\u00f3d-m\u00f3dos\u00edt\u00e1st is r\u00f6gz\u00edtenek a K\u00edn\u00e1ban tal\u00e1lhat\u00f3 szervereken a felhaszn\u00e1l\u00f3k tudta vagy beleegyez\u00e9se n\u00e9lk\u00fcl. A kamp\u00e1ny k\u00f3dneve MaliciousCorgi.<\/p>\n\n\n\n
\u201eMindkett\u0151 azonos rosszindulat\u00fa k\u00f3dot tartalmaz \u2013 ugyanazt a k\u00e9mprogram-infrastrukt\u00far\u00e1t, amely k\u00fcl\u00f6nb\u00f6z\u0151 kiad\u00f3i nevek alatt fut\u201d \u2013 mondta Tuval Admoni biztons\u00e1gi kutat\u00f3.<\/p>\n\n\n\n
A tev\u00e9kenys\u00e9get k\u00fcl\u00f6n\u00f6sen vesz\u00e9lyess\u00e9 teszi, hogy a b\u0151v\u00edtm\u00e9nyek pontosan \u00fagy m\u0171k\u00f6dnek, ahogyan hirdetik, automatikus kieg\u00e9sz\u00edt\u00e9si javaslatokat adnak \u00e9s elmagyar\u00e1zz\u00e1k a k\u00f3dol\u00e1si hib\u00e1kat, ez\u00e1ltal elker\u00fclve a v\u00e9szjelz\u00e9seket \u00e9s cs\u00f6kkentve a felhaszn\u00e1l\u00f3k gyanakv\u00e1s\u00e1t.<\/p>\n\n\n\n
Ugyanakkor a be\u00e1gyazott rosszindulat\u00fa k\u00f3d \u00fagy van kialak\u00edtva, hogy minden megnyitott f\u00e1jl teljes tartalm\u00e1t beolvassa, Base64 form\u00e1tumba k\u00f3dolja, \u00e9s egy K\u00edn\u00e1ban tal\u00e1lhat\u00f3 szerverre k\u00fcldje (\u201eaihao123[.]cn\u201d). A folyamat minden szerkeszt\u00e9skor elindul.<\/p>\n\n\n\n
A b\u0151v\u00edtm\u00e9nyek val\u00f3s idej\u0171 figyel\u00e9si funkci\u00f3t is tartalmaznak, amelyet a szerver t\u00e1volr\u00f3l is elind\u00edthat, ami ak\u00e1r 50 f\u00e1jl kisziv\u00e1rg\u00e1s\u00e1t is okozhatja a munkater\u00fcleten. A b\u0151v\u00edtm\u00e9ny webes n\u00e9zet\u00e9ben egy rejtett, nulla pixeles iframe is tal\u00e1lhat\u00f3, amely n\u00e9gy kereskedelmi analitikai szoftverfejleszt\u0151 k\u00e9szletet (SDK) t\u00f6lt be az eszk\u00f6z\u00f6k ujjlenyomat\u00e1nak meghat\u00e1roz\u00e1s\u00e1hoz \u00e9s kiterjedt felhaszn\u00e1l\u00f3i profilok l\u00e9trehoz\u00e1s\u00e1hoz.<\/p>\n\n\n\n
A n\u00e9gy haszn\u00e1lt SDK a Zhuge.io, a GrowingIO, a TalkingData \u00e9s a Baidu Analytics, amelyek mindegyike jelent\u0151s k\u00ednai adatelemz\u0151 platform.<\/p>\n\n\n\n
A PackageGate hib\u00e1i a JavaScript csomagkezel\u0151ket \u00e9rintik#
A bejelent\u00e9sre akkor ker\u00fclt sor, amikor az ell\u00e1t\u00e1si l\u00e1nc biztons\u00e1gi c\u00e9g bejelentette, hogy hat nulladik napi sebezhet\u0151s\u00e9get azonos\u00edtott JavaScript csomagkezel\u0151kben, mint p\u00e9ld\u00e1ul az npm, a pnpm, a vlt \u00e9s a Bun, amelyeket kihaszn\u00e1lva meg lehet oldani a csomagtelep\u00edt\u00e9s sor\u00e1n az \u00e9letciklus-szkriptek automatikus v\u00e9grehajt\u00e1s\u00e1nak kihagy\u00e1s\u00e1ra szolg\u00e1l\u00f3 biztons\u00e1gi ellen\u0151rz\u00e9sek megker\u00fcl\u00e9s\u00e9t. A hib\u00e1kat egy\u00fcttesen PackageGate-nek nevezt\u00e9k el.<\/p>\n\n\n\n
Az olyan v\u00e9dekez\u00e9si m\u00f3dszerek, mint az \u00e9letciklus-szkriptek letilt\u00e1sa („–ignore-scripts”) \u00e9s a z\u00e1rol\u00f3f\u00e1jlok v\u00e9gleges\u00edt\u00e9se („package-lock.json”) kulcsfontoss\u00e1g\u00fa mechanizmusokk\u00e1 v\u00e1ltak az ell\u00e1t\u00e1si l\u00e1nc t\u00e1mad\u00e1sainak lek\u00fczd\u00e9s\u00e9ben, k\u00fcl\u00f6n\u00f6sen a Shai-Hulud t\u00e1mad\u00e1s ut\u00e1n , amely a telep\u00edt\u00e9s ut\u00e1ni szkripteket haszn\u00e1lja ki f\u00e9regszer\u0171 terjed\u00e9sre, hogy elt\u00e9r\u00edtse az npm tokeneket, \u00e9s a csomagok rosszindulat\u00fa verzi\u00f3it k\u00f6zz\u00e9tegye a be\u00e1ll\u00edt\u00e1sjegyz\u00e9kben.<\/p>\n\n\n\n
Koi azonban felfedezte, hogy a n\u00e9gy csomagkezel\u0151ben meg lehet ker\u00fclni a szkriptek v\u00e9grehajt\u00e1s\u00e1t \u00e9s a z\u00e1rol\u00e1si f\u00e1jlok integrit\u00e1si ellen\u0151rz\u00e9s\u00e9t. A felel\u0151ss\u00e9gteljes bejelent\u00e9st k\u00f6vet\u0151en a probl\u00e9m\u00e1kat a pnpm ( 10.26.0 verzi\u00f3 ), a vlt ( 1.0.0-rc.10 verzi\u00f3 ) \u00e9s a Bun ( 1.3.5 verzi\u00f3 ) csomagokban jav\u00edtott\u00e1k. A Pnpm a k\u00e9t sebezhet\u0151s\u00e9get CVE-2025-69264 (CVSS pontsz\u00e1m: 8,8) \u00e9s CVE-2025-69263 (CVSS pontsz\u00e1m: 7,5) n\u00e9ven tartja nyilv\u00e1n .<\/p>\n\n\n\n
Az Npm azonban \u00fagy d\u00f6nt\u00f6tt, hogy nem jav\u00edtja ki a sebezhet\u0151s\u00e9get, kijelentve, hogy \u201ea felhaszn\u00e1l\u00f3k felel\u0151sek a telep\u00edteni k\u00edv\u00e1nt csomagok tartalm\u00e1nak ellen\u0151rz\u00e9s\u00e9\u00e9rt\u201d. Amikor megkerest\u00fck \u0151ket komment\u00e1r\u00e9rt, a GitHub sz\u00f3viv\u0151je elmondta a The Hacker Newsnak, hogy akt\u00edvan dolgoznak az \u00faj probl\u00e9ma megold\u00e1s\u00e1n, mivel az npm akt\u00edvan keresi a k\u00e1rtev\u0151ket a rendszerle\u00edr\u00f3 adatb\u00e1zisban.<\/p>\n\n\n\n
\u201eHa egy giten kereszt\u00fcl telep\u00edtett csomag tartalmaz egy el\u0151k\u00e9sz\u00edt\u0151 szkriptet, akkor annak f\u00fcgg\u0151s\u00e9gei \u00e9s fejleszt\u00e9si f\u00fcgg\u0151s\u00e9gei telep\u00fclnek. Ahogy a ticket beny\u00fajt\u00e1sakor is jelezt\u00fck, ez egy sz\u00e1nd\u00e9kos tervez\u00e9s, \u00e9s a v\u00e1rt m\u00f3don m\u0171k\u00f6dik\u201d \u2013 mondta a c\u00e9g. \u201eAmikor a felhaszn\u00e1l\u00f3k telep\u00edtenek egy git f\u00fcgg\u0151s\u00e9get, megb\u00edznak az adott t\u00e1rh\u00e1z teljes tartalm\u00e1ban, bele\u00e9rtve a konfigur\u00e1ci\u00f3s f\u00e1jlokat is.\u201d<\/p>\n\n\n\n
A Microsoft tulajdon\u00e1ban l\u00e9v\u0151 le\u00e1nyv\u00e1llalat a szoftverell\u00e1t\u00e1si l\u00e1nc biztons\u00e1ga \u00e9rdek\u00e9ben s\u00fcrgette a projekteket, hogy megb\u00edzhat\u00f3 k\u00f6zz\u00e9t\u00e9teli \u00e9s granul\u00e1ris hozz\u00e1f\u00e9r\u00e9si tokeneket alkalmazzanak k\u00e9nyszer\u00edtett k\u00e9tfaktoros hiteles\u00edt\u00e9ssel (2FA) a szoftverell\u00e1t\u00e1si l\u00e1nc biztons\u00e1ga \u00e9rdek\u00e9ben. 2025 szeptember\u00e9t\u0151l a GitHub elavultt\u00e1 tette a r\u00e9gi klasszikus tokeneket, r\u00f6videbb lej\u00e1rati id\u0151re korl\u00e1tozta a k\u00f6zz\u00e9t\u00e9teli enged\u00e9lyekkel rendelkez\u0151 granul\u00e1ris tokeneket, \u00e9s elt\u00e1vol\u00edtotta a 2FA megker\u00fcl\u00e9s\u00e9nek lehet\u0151s\u00e9g\u00e9t a helyi csomagok k\u00f6zz\u00e9t\u00e9telekor.<\/p>\n\n\n\n
\u201eA szkriptek letilt\u00e1sa \u00e9s a z\u00e1rol\u00e1si f\u00e1jlok v\u00e9gleges\u00edt\u00e9se tov\u00e1bbra is \u00e9rdemes k\u00f6vetni\u201d \u2013 mondta Oren Yomtov biztons\u00e1gi kutat\u00f3. \u201eDe ez nem a teljes k\u00e9p. Am\u00edg a PackageGate probl\u00e9m\u00e1j\u00e1t nem oldj\u00e1k meg teljesen, a szervezeteknek saj\u00e1t, megalapozott d\u00f6nt\u00e9seket kell hozniuk a kock\u00e1zatokkal kapcsolatban.\u201d<\/p>\n\n\n\n