黑客滥用微软 VSCode 远程隧道绕过安全工具

据Cyber Security News消息，黑客微软VSCode 远程隧道功能正被攻击者利用，滥用以绕过安全措施部署恶意脚本。微软

VSCode 远程隧道是远程流行开发环境中的一项功能
，让开发者通过安全隧道连接到远程计算机的隧道本地编码环境
，服务器租用从而提高开发参与度和灵活性。绕过

根据 On the Hunt 的安全博客文章，攻击者可在用户不知情的工具情况下安装安装 VSCode CLI 并创建远程隧道的文件或脚本 ，进而非法访问开发人员设备，香港云服务器黑客窃取机密数据、滥用部署恶意软件并通过网络横向移动。微软

最初发送的远程恶意 LNK 文件包含一个 PowerShell 命令 ，允许用户从远程 IP 地址下载并执行 Python 脚本。隧道 VSCode CLI 二进制文件 code-insiders.exe 由 Python 脚本下载并执行。绕过 Python 脚本使用 Github 上的建站模板安全 CLI 二进制文件生成并验证 VSCode 隧道。

攻击链

为 VSCode 创建一个远程隧道
，攻击者利用通过网络浏览器创建的隧道在 Python 有效载荷上执行命令  。

Python 脚本设置隧道

在不使用攻击者GitHub 帐户的情况下向 VSCode 进行身份验证，需按下 connect to tunnel 按钮。云计算

连接到隧道

一旦验证了账户，就可以看到有活动隧道的远程主机列表
。 选择在线受害者主机将连接到该主机上运行的 VSCode 远程隧道。这使得遍历受害者远程计算机上的目录成为可能。模板下载此外，还可以创建新文件或脚本并远程运行。

因此，企业最好限制自己的员工或客户访问远程隧道
，否则应禁止在园区内使用隧道，或采取措施防止隧道被滥用。源码库