VSCode Marketplace 上的恶意 Prettier 扩展程序会传播 Anivia Stealer 恶意软件

一场危险的恶意软件攻击活动通过 Visual Studio Code Marketplace 上的虚假扩展程序，以数千名开发人员为目标。

2025年11月21日，安全研究人员发现了一个名为“prettier-vscode-plus”的恶意扩展程序，该程序通过模仿合法的 Prettier 代码格式化程序来诱骗开发人员安装它。

该扩展程序利用品牌知名度，瞄准寻求格式化工具的开发者，对开发社区构成严重威胁。

该恶意扩展程序采用品牌劫持攻击的方式，使用与真正的 Prettier 扩展程序几乎相同的名称和外观来欺骗用户下载它。

这种攻击之所以特别有效，是因为开发者往往信任他们熟悉的流行扩展程序。

Checkmarx 安全研究人员迅速发现并报告了该扩展程序，导致其在发布后四小时内被删除。

尽管反响迅速，但该扩展程序在从应用商店下架之前，仅获得了 6 次下载和 3 次安装。

Checkmarx 安全分析师发现，该扩展程序部署了 Anivia Stealer 恶意软件的变种，这是一种旨在从 Windows 系统中窃取敏感信息的凭据窃取工具。

该恶意软件专门针对登录凭证、元数据和私人通信，包括 WhatsApp 聊天记录。

这一发现揭示了一起精心策划、协调有序的攻击，其目的是入侵开发者账户并窃取宝贵的身份验证数据。

多阶段攻击基础设施和规避策略

该恶意软件采用多阶段部署流程，旨在逃避常见安全工具的检测。第一阶段包括从 GitHub 代码库获取 base64 编码的有效载荷数据，然后将 VBScript 代码写入系统临时目录以执行。

VBS 脚本用作引导机制，触发PowerShell命令，使用 AES 加密密钥 (AniviaCryptKey2024!32ByteKey!HXX) 直接在内存中解密 blob，而无需将文件写入磁盘。

这种方法显著减少了可检测的取证痕迹，使终端安全系统更难追踪攻击。

最后阶段使用 Reflection.AssemblyLoad 从内存中执行解密后的二进制文件，调用入口点“Anivia.AniviaCRT”来激活窃取功能。

这种技术留下的感染痕迹极少，仅留下临时文件痕迹作为磁盘活动记录。此外，该恶意软件还采用了高级规避技术，例如检测沙箱环境、检查CPU使用率低以及内存可用性有限，以避免在引爆室中被触发。

这种复杂的架构表明，技术娴熟的威胁行为者正在开发专门设计用于绕过端点检测和响应解决方案的攻击。