谨防VSCode项目植入后门！！！

主要观点总结

该文章主要介绍了VSCode中的tasks.json功能可能被用于创建后门，攻击者可以利用这一特性在VSCode中执行任意代码。文章还提供了复现测试的方法和注意事项，以及针对这一现象的安全建议。

关键观点总结

关键观点1: VSCode允许通过文件自动执行任务tasks.json，攻击者可以利用这一特性植入后门。

攻击者在VSCode中打开特定文件夹时会执行任意代码，影响范围包括Windows、Linux和macOS，以及基于VSCode二开的编辑器。

关键观点2: 复现测试方法

新建一个测试目录，并在这个目录下再新建一个.vscode/目录，然后在这目录下新建一个tasks.json文件，粘贴网上公布的POC即可。

关键观点3: 注意事项

VSCode工作区信任设置默认为untiDismissed，在打开项目时会出现弹窗提示。有的二开AI代码编辑器可能阉割了工作区信任功能。另外，可以通过设置关闭自动任务功能或调整工作区信任设置来防范此后门。

关键观点4: 安全建议

如果不需要使用自动任务功能，可以在VSCode设置中搜索Tasks并设置为off。此外，可以通过Ctrl+Shift+P搜索“工作区信任”进行相关的设置。