کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی دو افزونه مخرب در Visual Studio Code خبر دادهاند که با ظاهر دستیار هوش مصنوعی، دادههای توسعهدهندگان را بهصورت پنهانی جمعآوری میکنند.
به گزارش کمیته رکن چهارم، این افزونهها که مجموعاً بیش از ۱.۵ میلیون بار نصب شدهاند، هنگام باز شدن و ویرایش فایلها، محتوای کد را خوانده و به سرورهایی در چین ارسال میکنند. بررسیها نشان میدهد هر دو افزونه از یک کد و زیرساخت مشترک استفاده میکنند و با وجود عملکرد ظاهراً عادی، نقش جاسوسی دارند.
همزمان، آسیبپذیریهایی با نام PackageGate در برخی مدیران بسته جاوااسکریپت افشا شده که میتواند محدودیتهای امنیتی رایج را دور بزند و خطر حملات زنجیره تأمین را افزایش دهد. کارشناسان هشدار میدهند اعتماد بیچونوچرا به ابزارهای توسعه، میتواند به نشت گسترده کد و اطلاعات حساس منجر شود.
