MaliciousCorgi: złośliwe „AI assistants” w VS Code Marketplace wykradają kod i sekrety deweloperów

Wprowadzenie do problemu / definicja luki

Ekosystem rozszerzeń do Visual Studio Code (VS Code) jest jednym z najszybszych wektorów „supply chain” w środowiskach developerskich: instalujesz wtyczkę, a ona uruchamia się z uprawnieniami porównywalnymi do samego edytora (czyli potencjalnie: pliki, sieć, procesy, ustawienia). Microsoft wprost podkreśla, iż extension host ma te same uprawnienia co VS Code, więc rozszerzenie może robić niemal wszystko, co potrafi edytor.

Na tym tle pojawił się przypadek kampanii nazwanej MaliciousCorgi: dwie bardzo popularne wtyczki „AI coding assistant” z oficjalnego VS Code Marketplace miały realną funkcjonalność… i jednocześnie potajemnie eksfiltrowały zawartość plików oraz profilowały użytkowników.

W skrócie

• Zidentyfikowano dwie wtyczki z łączną liczbą instalacji ok. 1,5 mln, reklamowane jako asystenci AI.
• Według analizy Koi Security, rozszerzenia działały „zgodnie z obietnicą”, ale równolegle uruchamiały ukryte kanały zbierania danych bez jasnej zgody użytkownika.
• Mechanika obejmowała m.in. wysyłkę całych plików po ich otwarciu, zrzuty zmian przy edycji oraz zdalnie sterowane „mass harvesting” do 50 plików z workspace.
• W webview osadzono niewidoczny (0-pixel) iframe ładujący komercyjne SDK analityczne (profilowanie).
• IOCs (wg Koi): identyfikatory rozszerzeń whensunset.chatgpt-china, zhukunpeng.chat-moss oraz domena aihao123.cn.
• Microsoft zadeklarował, iż bada zgłoszenie (aktualizacja w artykule z 24 stycznia 2026).

Kontekst / historia / powiązania

Wtyczki do VS Code są szczególnie „socjotechniczne”: popularność, oceny i obietnica zwiększenia produktywności (zwłaszcza „AI”) skutecznie obniżają czujność. W MaliciousCorgi dodatkowym problemem była skala instalacji i to, iż rozszerzenia faktycznie dostarczały oczekiwane funkcje, co utrudniało szybkie wykrycie przez użytkowników.

Ten przypadek wpisuje się w szerszy trend nadużyć marketplace’ów dla deweloperów (rozszerzenia, paczki, pluginy). Przykładowo pod koniec 2025 r. opisywano inne kampanie złośliwych rozszerzeń VS Code, które podszywały się pod motywy lub narzędzia AI i kradły dane.

Analiza techniczna / szczegóły luki

1) Które rozszerzenia?

Według BleepingComputer/Koi chodzi o:

• ChatGPT – 中文版 (publisher: WhenSunset, ok. 1,34–1,35 mln instalacji)
• ChatMoss (CodeMoss) (publisher: zhukunpeng, ok. 150 tys. instalacji)

2) Trzy kanały wycieku danych (wg Koi)

Kanał 1: Real-time file monitoring

• Po samym otwarciu pliku rozszerzenie czyta jego całą zawartość, koduje Base64 i wysyła dalej (przez webview/ukryty mechanizm śledzący).
• Dodatkowo przechwytuje każdą zmianę (eventy edycji).

Kanał 2: Server-controlled mass harvesting

• Serwer może zdalnie wywołać komendę zbierającą pliki z workspace (bez interakcji użytkownika).
• W opisie Koi pojawia się pole jumpUrl w odpowiedzi serwera, parsowane jako JSON; gdy serwer zwróci "type":"getFilesList", uruchamia się zbiórka do 50 plików i wysyłka.

Kanał 3: Profilowanie użytkownika

• Webview zawiera niewidoczny iframe 0 px, który ładuje cztery komercyjne SDK analityczne: Zhuge.io, GrowingIO, TalkingData i Baidu Analytics.
• Celem nie jest „telemetria edytora”, tylko budowanie profilu (fingerprinting, zachowania, metadane aktywności).

3) Infrastruktura i IOCs

Koi podaje wprost identyfikatory rozszerzeń oraz domenę powiązaną z kampanią:

• whensunset.chatgpt-china
• zhukunpeng.chat-moss
• domena: aihao123.cn

Praktyczne konsekwencje / ryzyko

Najbardziej dotkliwy element MaliciousCorgi to kradzież całych plików i workspace, a więc:

• kod źródłowy (w tym nieopublikowane funkcje, algorytmy, logika biznesowa),
• konfiguracje środowiskowe,
• sekrety: .env, klucze API, tokeny, hasła do baz, pliki typu credentials.json, klucze SSH (jeśli trzymane w repo lub workspace),
• dane o użytkowniku i organizacji (profilowanie + potencjalne targetowanie kolejnych etapów ataku).

W praktyce oznacza to ryzyka: utraty IP, przejęć usług w chmurze (dzięki kluczom), kompromitacji pipeline CI/CD, a choćby kolejnych włamań „lateral movement”, jeżeli skradzione sekrety są współdzielone między środowiskami.

Rekomendacje operacyjne / co zrobić teraz

Dla pojedynczych deweloperów

1. Sprawdź zainstalowane rozszerzenia i usuń podejrzane pozycje (szczególnie te wskazane w IOC).
2. Zrotuj sekrety: klucze API, tokeny, hasła, klucze SSH, credentials do chmury (priorytet dla tych, które mogły trafić do workspace).
3. Przejrzyj logi ruchu wychodzącego (DNS/HTTP) pod kątem aihao123.cn oraz nietypowych połączeń wykonywanych podczas pracy w VS Code.
4. Jeśli pracujesz na repo firmowym: poinformuj SecOps/IR i potraktuj to jako potencjalny incydent wycieku kodu.

Dla zespołów i organizacji

1. Polityka allowlist/denylist dla rozszerzeń (MDM/Intune/konfiguracja VS Code) + wymuszanie zatwierdzonych publisherów. (Microsoft udostępnia mechanizmy oceny zaufania wydawcy, m.in. Verified Publisher i dialog zaufania).
2. Egress control dla stacji developerskich (proxy, DNS filtering), alertowanie na nowe domeny i nietypowy ruch z procesu VS Code / extension host.
3. Proces zgłaszania i takedownu: jeżeli wykryjesz złośliwe rozszerzenie, przygotuj raport z identyfikatorem, opisem zachowań i IOC — to przyspiesza reakcję zespołu Marketplace (Checkmarx opisuje praktykę „thorough report” i szybkie usuwanie po weryfikacji).
4. W przypadku podejrzenia wycieku: uruchom IR playbook dla kradzieży sekretów (rotacje, przegląd uprawnień, sprawdzenie nietypowych logowań do chmury/VCS).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• „Normalny” asystent AI zwykle wysyła ograniczony kontekst (np. fragment wokół kursora) w celu podpowiedzi. MaliciousCorgi przekracza tę granicę: eksfiltruje całe pliki po otwarciu i potrafi zdalnie zainicjować zrzut wielu plików z workspace.
• W odróżnieniu od kampanii stricte malware/stealer (np. opisywanych w 2025 r.), tu „przynętą” jest działająca funkcja AI, a mechanizmy są ukryte w tle, co poprawia „retencję” ofiar i utrudnia wykrycie.
• Profilowanie przez komercyjne SDK w iframe (Zhuge/GrowingIO/TalkingData/Baidu) to podejście bliższe ekosystemowi marketing/trackingu niż klasycznemu malware — ale w kontekście IDE jest równie groźne, bo wspiera selekcję celów i timing eksfiltracji.

Podsumowanie / najważniejsze wnioski

MaliciousCorgi to bardzo czytelny sygnał ostrzegawczy dla zespołów developerskich: „działa i ma dobre oceny” nie oznacza „jest bezpieczne”, a rozszerzenia VS Code mają realną moc (pliki + sieć) porównywalną do samego edytora.

Jeśli w organizacji dopuszczacie narzędzia AI w IDE, potrzebujecie minimum: allowlisty rozszerzeń, kontroli ruchu wychodzącego, procesu audytu publisherów oraz szybkiej procedury rotacji sekretów po incydencie.

Źródła / bibliografia

1. BleepingComputer – opis incydentu, lista rozszerzeń, 3 mechanizmy zbierania danych, stanowisko Microsoft (23–24 stycznia 2026). (BleepingComputer)
2. Koi Security – analiza kampanii MaliciousCorgi (22 stycznia 2026), kanały 1–3, IOCs. (koi.ai)
3. Microsoft VS Code Docs – Extension runtime security (model uprawnień, zaufanie do publisherów, zabezpieczenia Marketplace). (Visual Studio Code)
4. Checkmarx – praktyka zgłaszania i zdejmowania złośliwych rozszerzeń z Marketplace (proces i oczekiwania raportowe). (Checkmarx)
5. The Hacker News – kontekst wcześniejszych złośliwych rozszerzeń VS Code atakujących deweloperów (grudzień 2025). (The Hacker News)