黑客利用微软 VSCode 远程隧道绕过安全工具

据Cybersecuritynews消息，研究发现微软 VSCode 的远程隧道功能遭恶意行为者滥用。攻击者通过初始交付的恶意 LNK 文件，内含 PowerShell 命令，下载并执行来自远程 IP 地址的 Python 脚本，借此下载并运行 VSCode CLI 二进制文件，生成并认证 VSCode 隧道，从而非法访问开发者设备，窃取机密数据、部署恶意软件并在网络中横向移动。攻击链条涉及创建远程隧道、通过浏览器执行 Python 有效载荷命令等步骤。