Специалисты по кибербезопасности из компании Koi Security обнаружили масштабную угрозу для разработчиков, получившую кодовое название MaliciousCorgi. Исследователь безопасности Тувал Адмони выявил два вредоносных расширения для редактора Microsoft Visual Studio Code (VS Code), которые функционируют как полноценные ИИ-ассистенты, предлагая автодополнение кода и объяснение ошибок. Эта функциональность служит идеальной маскировкой для скрытого шпионского ПО, предназначенного для кражи исходного кода и личных данных пользователей. На момент публикации отчета расширения все еще были доступны на официальном Visual Studio Marketplace, а их совокупное количество установок достигло 1,5 миллиона.
Основной удар приходится на расширение с названием «ChatGPT – 中文版» (идентификатор
Технический механизм атаки срабатывает при каждом открытии файла или изменении исходного кода. Вредоносная программа считывает содержимое файлов, кодирует данные в формат Base64 и отправляет их на сервер, расположенный в Китае. Кроме того, в ПО встроена функция удаленного управления в реальном времени, которая может быть активирована злоумышленниками для единовременной эксфильтрации до 50 файлов из рабочего пространства разработчика.
Все похищенные данные передаются на сервер
Помимо угрозы MaliciousCorgi, компания Koi Security раскрыла информацию о шести уязвимостях нулевого дня в популярных менеджерах пакетов JavaScript, объединив их под общим названием PackageGate. Данные бреши позволяют злоумышленникам обходить механизмы безопасности, предназначенные для предотвращения автоматического выполнения скриптов жизненного цикла. Атака игнорирует проверки целостности файла
Уязвимости затрагивают менеджеры пакетов npm, pnpm, vlt и Bun. В частности, проблема выявлена в версии vlt 1.0.0-rc.10 и Bun версии 1.3.5. В контексте затронутых менеджеров также упоминается фрагмент данных «26.0». Для менеджера pnpm были присвоены конкретные идентификаторы уязвимостей: CVE-2025-69264 с оценкой опасности CVSS 8.8 и CVE-2025-69263 с оценкой 7.5. В качестве примера реализации подобной угрозы приводится червеобразная атака Shai-Hulud, использующая скрипты postinstall для перехвата токенов npm и публикации вредоносных версий пакетов.
Реакция вендоров на обнаружение PackageGate оказалась неоднозначной. Представители npm и GitHub (дочерняя компания Microsoft) приняли решение не исправлять данную уязвимость. Они аргументировали это тем, что «пользователи несут ответственность за проверку содержимого пакетов», а установка git-зависимости подразумевает доверие ко всему содержимому репозитория. Скрипты подготовки, устанавливающие зависимости, были названы «намеренным дизайном». В качестве текущей меры защиты GitHub осуществляет активное сканирование реестра на наличие вредоносного ПО.
В то же время Microsoft и GitHub ужесточают общие политики безопасности. По состоянию на сентябрь 2025 года внедрены новые правила: устаревшие классические токены выведены из эксплуатации, срок действия гранулярных токенов с правами публикации ограничен, а возможность обхода двухфакторной аутентификации (2FA) для локальной публикации пакетов полностью удалена.
Эксперты Koi Security резюмируют текущую ситуацию с безопасностью цепочек поставок предостережением для разработчиков. Как отмечено в отчете: «Пока проблема PackageGate не будет полностью решена, организациям необходимо самостоятельно делать осознанный выбор в отношении рисков». Это подчеркивает необходимость внедрения дополнительных уровней проверки стороннего кода и расширений в корпоративных средах.
Изображение носит иллюстративный характер
Основной удар приходится на расширение с названием «ChatGPT – 中文版» (идентификатор
whensunset.chatgpt-china), которое было установлено 1 340 869 раз. Второе обнаруженное вредоносное дополнение называется «ChatGPT – ChatMoss(CodeMoss)» (идентификатор zhukunpeng.chat-moss) и насчитывает 151 751 установку. Оба инструмента имеют идентичную вредоносную инфраструктуру, скрытую под именами разных издателей, и используют легитимные функции искусственного интеллекта для снижения бдительности жертв. Технический механизм атаки срабатывает при каждом открытии файла или изменении исходного кода. Вредоносная программа считывает содержимое файлов, кодирует данные в формат Base64 и отправляет их на сервер, расположенный в Китае. Кроме того, в ПО встроена функция удаленного управления в реальном времени, которая может быть активирована злоумышленниками для единовременной эксфильтрации до 50 файлов из рабочего пространства разработчика.
Все похищенные данные передаются на сервер
aihao123[.]cn. Для сбора и анализа информации злоумышленники используют китайские платформы аналитики данных, такие как , GrowingIO, TalkingData и Baidu Analytics. Использование этих SDK позволяет операторам кампании эффективно управлять потоками украденной информации и отслеживать активность зараженных систем. Помимо угрозы MaliciousCorgi, компания Koi Security раскрыла информацию о шести уязвимостях нулевого дня в популярных менеджерах пакетов JavaScript, объединив их под общим названием PackageGate. Данные бреши позволяют злоумышленникам обходить механизмы безопасности, предназначенные для предотвращения автоматического выполнения скриптов жизненного цикла. Атака игнорирует проверки целостности файла
package-lock.json и обходит защиту флага --ignore-scripts. Уязвимости затрагивают менеджеры пакетов npm, pnpm, vlt и Bun. В частности, проблема выявлена в версии vlt 1.0.0-rc.10 и Bun версии 1.3.5. В контексте затронутых менеджеров также упоминается фрагмент данных «26.0». Для менеджера pnpm были присвоены конкретные идентификаторы уязвимостей: CVE-2025-69264 с оценкой опасности CVSS 8.8 и CVE-2025-69263 с оценкой 7.5. В качестве примера реализации подобной угрозы приводится червеобразная атака Shai-Hulud, использующая скрипты postinstall для перехвата токенов npm и публикации вредоносных версий пакетов.
Реакция вендоров на обнаружение PackageGate оказалась неоднозначной. Представители npm и GitHub (дочерняя компания Microsoft) приняли решение не исправлять данную уязвимость. Они аргументировали это тем, что «пользователи несут ответственность за проверку содержимого пакетов», а установка git-зависимости подразумевает доверие ко всему содержимому репозитория. Скрипты подготовки, устанавливающие зависимости, были названы «намеренным дизайном». В качестве текущей меры защиты GitHub осуществляет активное сканирование реестра на наличие вредоносного ПО.
В то же время Microsoft и GitHub ужесточают общие политики безопасности. По состоянию на сентябрь 2025 года внедрены новые правила: устаревшие классические токены выведены из эксплуатации, срок действия гранулярных токенов с правами публикации ограничен, а возможность обхода двухфакторной аутентификации (2FA) для локальной публикации пакетов полностью удалена.
Эксперты Koi Security резюмируют текущую ситуацию с безопасностью цепочек поставок предостережением для разработчиков. Как отмечено в отчете: «Пока проблема PackageGate не будет полностью решена, организациям необходимо самостоятельно делать осознанный выбор в отношении рисков». Это подчеркивает необходимость внедрения дополнительных уровней проверки стороннего кода и расширений в корпоративных средах.
