やはり本家が最強

VSCodeベースの開発環境に脆弱性、マルウェア感染を導く恐れ
https://news.mynavi.jp/techplus/article/20260107-3931954/

Visual Studio Code(以下、VSCode)はMicrosoftが開発した無償の統合開発環境だ。さまざまな拡張機能をサポートし、その一部を推奨機能として表示することができる

一方でVSCodeから派生したCursorなどの統合開発環境は、ライセンスの制約によりMicrosoft公式の拡張機能マーケットプレイスを使用することができない。そこでEclipse Foundationが運営する代替マーケットプレイスの「Open VSX Registry(以下、OpenVSX)」を使用して拡張機能をサポートしている。

ここで問題になるのがVSCodeに搭載された拡張機能の推奨機能だ。Koi Securityによると、VSCodeは推奨する拡張機能の一覧をハードコードして出荷しており、派生製品においても同一の推奨表示を行うという。その結果、OpenVSXに存在しない拡張機能を推奨するという状況が発生する。

攻撃者は前述の問題を利用することで、「OpenVSXに存在しない推奨される拡張機能」をOpenVSXに登録することができる。ユーザーがこの推奨された悪意のある拡張機能をインストールすると、情報流出やマルウェア感染などの被害に遭う可能性がある。