慢霧CISO：針對開發者的供應鏈攻擊氾濫，警惕可疑VSCode插件

Odaily星球日報訊 慢霧科技首席資訊安全長23pds 透過轉發X 平台用戶@mrdotparasyte 的貼文警示廣大開發者，在安裝第三方外掛程式或套件時務必提高警覺。目前有一款名為JuanFranBlanco.solidit-vscode 的可疑VSCode 插件，且插件Identifier 中的「solidit」為明顯拼字錯誤。該插件已存在兩三天，目前尚不清楚有多少開發者不慎「中招」。目前，針對開發者的供應鏈攻擊現象愈發氾濫，特別是未經官方審核的VSCode 插件、npm 包等，已成為此類攻擊的重災區。