Công ty công nghệ bảo mật SlowMist phát hiện một plug-in nghi vấn trên VSCode, mang tên JuanFranBlanco.solidit-vscode, thông qua tài khoản X. Người dùng báo cáo rằng lượng tải về của plug-in này có thể đã được tăng cường bằng các phương pháp không đúng đắn. Thông tin về plug-in cũng gây nghi ngại và ký hiệu “solidit” là một lỗi chính tả rõ ràng.
Plug-in này chỉ mới xuất hiện được vài ngày, tuy nhiên không rõ đã có bao nhiêu nhà phát triển vô tình bị ảnh hưởng. Hiện nay, các cuộc tấn công chuỗi cung ứng nhắm vào nhà phát triển đang trở nên ngày càng phổ biến. Đặc biệt, các plug-in của VSCode và gói npm chưa được kiểm duyệt chính thức là mục tiêu chính của những cuộc tấn công này.
Các nhà phát triển cần cảnh giác khi cài đặt plug-in hoặc gói từ bên thứ 3. Phân biệt và kiểm tra cẩn thận sẽ giúp giảm thiểu rủi ro từ các cuộc tấn công tiềm ẩn. Các thông tin cung cấp chỉ mang tính chất tham khảo thị trường và không phải là lời khuyên đầu tư.
