近日，安全人员发觉了新的代码存储库漏洞，当中在tasks.json配置文件里有恶意代码，这些代码被设定为于Code中打开文件夹之际自动执行。

在此种情形之下，对于VS Code而言，其运行同样是契合用户所期望的状况，难以察觉出过多的改变之处。

tasks.json文件能让开发者把命令行工具整合至编辑器当中，借此能够运用“运行任务”或者“运行生成任务”命令去执行这些工具，而且，还能够挑选在打开含有该任务的文件夹之际自动运行这些任务，当tasks.json文件针对某个代码仓库而言具有特定性时，它处于隐藏的.文件夹里。

VS Code 有两层保护机制防止不必要的任务自动运行。

首先是“允许自动任务”的相关设置，这般设置是默认处于开启的状态。而后是文件夹方面，起初它是默认不被信任的状态，由于其不受信任，所以任务不会在其中运行。当打开那个包含自动执行任务的文件夹之时，就会弹出那样一则警告提示，提示内容为“创建终端的进程需要执行代码” 。

即便如此，警告对话框将“信任文件夹并继续”选项显著突出显示，但是其视觉呈现效果跟文本包含内容并不契合相称。除此之外，VS Code还给出了一个选项，该选项能够准许信任父文件夹当中的所有文件夹；要是在此之前已经把此选项勾选选中了，那么在默认情形下就会对新的子文件夹予以信任。

图1，VS Code在打开含有自动运行任务的文件夹之际，会展现警告对话框codejock v171，不过会将“继续”选项予以突出显示，恰似暗黑模式，。

会夸张所发现风险之人，常当属安全公司，鉴于此并非VS Code自带之漏洞，所以呢该问题或许已然被夸大了；其实真正的问题所在，是恶意代码库处于存在之状态，依据jamf团队声称，这些代码库一般“是打着招聘流程或者技术任务这样的幌子予以”创建而成的。就算是不存在恶意自动运行的任务之时，受感染的代码库同样是很危险的。

然而，VS Code在此方面的设计着实仍存在可改进之处。“一款文本编辑器凭仅打开文件夹便能运行隐藏代码，这实在太可怖了……要是用户觉得信任某个文件可提升工作效率，他们总归会去点击信任按钮。软件设计这般容易出现差错，我们也没法去责怪他们。”一位开发者这般评论道 。

在本周所发现的这个特定的案例当中，有这么一个后门存在，借助这个后门攻击者能够开展“远程代码执行、系统指纹识别以及持久的C2（命令与控制）通信”，它借助了tasks.json的一项特性，此特性能够依照操作系统运行不一样的命令，并且针对macOS以及Linux做了相应的改动，而恶意代码是经由curl tool工具从远端的位置获取得到的。

这个恶意代码库被托管于 之上，如今已被拿掉，然而 恶意代码却被托管在 之上。把恶意代码托管于外部（并非代码库自身）会使 安全工具扫描的困难程度增加。

那么codejock v171，开发者该如何保护自己？

科研人员表明，在把代码库标定为可信以前，“详查其内容是极为关键的”，然而当代码数量庞大时，这般几乎没办法达成，更为关键的是，他们提议“于和第三方代码库进行交互之际务必要万分谨慎”。

若于隔离着的，临时性质的环境之内开展开发，如此运行未受信任的代码所引发的后果便没那么严重了。

那位开发者这般提示众人，在容器里开展开发理应变成一种默认的工作流程 。

如有侵权请联系删除！