資安公司Wiz Research於10月15日發布報告，揭露微軟Visual Studio Code（VS Code）Marketplace及開源替代平台Open VSX Registry中，逾550個驗證秘密外洩，來自數百家擴充套件發佈者，包括OpenAI、Google Gemini、Anthropic及HuggingFace等AI供應商。此洩露包含Azure DevOps個人存取權杖（PATs）、資料庫憑證及AWS、GitHub、Stripe等高風險API金鑰，可能助駭客中毒擴充套件，發動大規模供應鏈攻擊。Wiz於3月底4月初通報微軟，後者已撤銷所有VS Code Marketplace PAT，並於6月推出掃描工具。專家警告，此事件凸顯IDE擴充套件的安全盲點，台灣軟體開發社群廣用VS Code，需立即審核套件並限制安裝，防範類似洩露導致程式碼中毒及資料外洩。

 

Wiz首席資安研究員Rami McCarthy於報告中指出，此洩露模式源於組織發佈VS Code擴充套件時，未意識檔案公開或未掃描硬編碼秘密。VS Code擴充套件以.vsix封裝形式分發，為可解壓縮ZIP檔案，發佈者常忽略其公開性，將敏感資料如PATs及API金鑰嵌入。McCarthy表示：「我們本調查惡意擴充套件，卻發現更嚴重問題：擴充套件包中秘密洩露肆虐。」逾130個PATs可更新擴充套件，助攻擊者推播惡意版本，影響數百萬用戶。部分洩露來自大企業內部套件，低下載量但高風險，如一中國市值300億美元巨頭的PAT，可針對其員工推播惡意軟體。

 

報告顯示，AI相關配置檔案洩露增加，包含MongoDB、Postgres、Supabase資料庫秘密，以及AWS、GitHub、Stripe、Auth0及Google Cloud Platform高風險平台憑證。McCarthy告訴Dark Reading，高風險秘密包括存取權杖及API金鑰。Open VSX Registry亦受影響，Eclipse基金會管理，但未見撤銷或防護措施。Wiz掃描顯示，擴充套件發佈者多不知檔案公開，或未使用秘密掃描工具。McCarthy強調：「VS Code Marketplace審核嚴格，優於Open VSX，但擴充套件洩露歷史上常見。」

 

微軟於3月底4月初接獲Wiz通報後，合作解決，所有VS Code Marketplace PATs已撤銷。6月，微軟推出新安全措施，包括發佈前掃描擴充套件秘密工具，並掃描現有套件，協助組織發布無毒版本。McCarthy表示，微軟無先前掃描證據，研究多聚焦惡意套件，忽略此關鍵風險。Eclipse基金會未回應評論，但Open VSX計畫新增權杖前綴。Dark Reading聯繫微軟，發言人確認事件與Red Hat GitLab洩露無關，僅限Red Hat諮詢業務GitLab Community Edition實例，非GitHub。

 

供應鏈攻擊近年頻發，此事件為最新威脅。2025年夏季Salesforce客戶環境入侵，從Salesloft GitHub帳戶OAuth權杖洩露開始，UNC6395利用竊取權杖入侵客戶Salesforce。GitLab亦遭攻擊，2024年5月CVE-2023-7028漏洞允許帳戶接管（CVSS 10.0）；不久後CVE-2024-5655及CVE-2024-6385威脅CI/CD管線，雖嚴重但無野外利用。McCarthy建議：限制VS Code擴充套件安裝數，使用白名單；盤點IDE套件；審核信任標準，如安裝量、評價、發佈者聲譽及元資料。

 

台灣資安專家分析，此洩露對本土開發社群影響深遠。VS Code為台灣程式員主流工具，逾70%開發者使用，擴充套件如Copilot及GitHub依賴高。行政院國家資通安全會報表示，將監測VS Code Marketplace相關威脅，呼籲開發者審核套件來源，停用不必要擴充。科技部亦提醒，企業盤點內部套件，避免硬編碼秘密。趨勢科技台灣區總經理洪偉淦受訪時指出：「VS Code Marketplace洩露逾550秘密，台灣軟體業供應鏈易中毒，需立即掃描.vsix檔案。」他建議，使用TruffleHog或Gitleaks工具偵測秘密，實施最小權限原則，並定期紅隊測試擴充套件，防範如RediShell Redis漏洞的RCE攻擊。

 

此事件與近期資安趨勢呼應，如Red Hat GitLab 28,000私倉洩露、Cisco零日漏洞遭APT利用，顯示程式碼儲存庫成熱點。Wiz強調，IDE擴充套件需更高審核，企業應白名單管理。台灣政府可借鏡，強化開源工具資安指南，強制企業報告供應鏈事件。開發者防範之道包括：僅安裝高評價套件、檢查元資料、避免內部套件公開。隨著AI及雲端開發加速，此類洩露料將頻發，台灣需提升供應鏈韌性，確保軟體安全。

 

出處：Dark Reading 作者：Rob Wright，資安新聞資深主任