4 ส่วนเสริม VS Code เสี่ยงถูกแฮก
🚨 พบช่องโหว่ร้ายแรงใน 4 ส่วนเสริม VS Code ยอดติดตั้งกว่า 125 ล้านครั้ง!
นักวิจัยด้านความปลอดภัยไซเบอร์เปิดเผยช่องโหว่ร้ายแรงในส่วนเสริมยอดนิยมของ Microsoft Visual Studio Code (VS Code) จำนวน 4 ตัว ซึ่งมียอดติดตั้งรวมกันมากกว่า 125 ล้านครั้ง 😱
หากถูกโจมตีสำเร็จ แฮกเกอร์อาจสามารถ:
-
📂 ขโมยไฟล์ในเครื่อง (Local File Exfiltration)
-
💻 รันโค้ดจากระยะไกล (Remote Code Execution)
-
🏢 ขยายการโจมตีไปยังระบบภายในองค์กร (Lateral Movement)
งานวิจัยนี้ถูกเปิดเผยโดยบริษัทด้านความปลอดภัย OX Security
🔎 ส่วนเสริมที่พบช่องโหว่
1️⃣ Live Server
CVE-2025-65717 (CVSS 9.1 – ความรุนแรงสูงมาก)
ช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีขโมยไฟล์จากเครื่องนักพัฒนาได้ หากหลอกให้เหยื่อเข้าเว็บไซต์อันตรายในขณะที่ Extension กำลังทำงาน
JavaScript ที่ฝังอยู่ในเว็บสามารถ:
-
เข้าถึง HTTP Server ที่รันบน
localhost:5500 -
ดึงไฟล์ภายในเครื่อง
-
ส่งข้อมูลไปยังโดเมนของผู้โจมตี
⚠️ ขณะนี้ยังไม่มีแพตช์แก้ไข
2️⃣ Markdown Preview Enhanced
CVE-2025-65716 (CVSS 8.8)
ผู้โจมตีสามารถอัปโหลดไฟล์ .md ที่ถูกออกแบบมาเป็นพิเศษ เพื่อรัน JavaScript อันตราย
ผลกระทบ:
-
สแกนพอร์ตภายในเครื่อง (Local Port Enumeration)
-
ขโมยข้อมูลออกไปยังเซิร์ฟเวอร์ผู้โจมตี
⚠️ ยังไม่มีการแก้ไข
3️⃣ Code Runner
CVE-2025-65715 (CVSS 7.8)
ช่องโหว่นี้ต้องอาศัย Social Engineering หรือ Phishing หลอกให้ผู้ใช้แก้ไขไฟล์ settings.json
เมื่อสำเร็จ แฮกเกอร์สามารถรันโค้ดใดๆ ก็ได้บนเครื่องเหยื่อ 💣
⚠️ ยังไม่มีแพตช์เช่นกัน
4️⃣ Microsoft Live Preview
แม้ไม่มีหมายเลข CVE แต่พบว่ามีช่องโหว่ที่อนุญาตให้เว็บไซต์อันตรายเข้าถึงไฟล์สำคัญในเครื่องนักพัฒนา
Microsoft ได้แก้ไขเงียบๆ ในเวอร์ชัน 0.4.16 (กันยายน 2025) แล้ว ✅
💡 ความเสี่ยงต่อองค์กร
นักวิจัยระบุว่า แค่มี Extension ที่มีช่องโหว่เพียงตัวเดียว ก็อาจเปิดทางให้ผู้โจมตี:
-
ยึดเครื่องนักพัฒนา
-
ขโมย Source Code
-
ฝัง Backdoor
-
เคลื่อนย้ายการโจมตีไปยังระบบอื่นในองค์กร
โดยเฉพาะองค์กรที่มีทีม Developer หลายคน ความเสี่ยงจะยิ่งสูงขึ้น 📈
🛡 แนวทางป้องกันที่แนะนำ
เพื่อความปลอดภัยของสภาพแวดล้อมการพัฒนา ควร:
-
❌ หลีกเลี่ยงการติดตั้ง Extension ที่ไม่จำเป็น
-
🔄 อัปเดต Extension เป็นเวอร์ชันล่าสุดเสมอ
-
🔥 ใช้ Firewall จำกัดการเชื่อมต่อเข้า-ออก
-
📴 ปิดบริการ localhost เมื่อไม่ใช้งาน
-
📑 ไม่เปิดไฟล์หรือ Repository จากแหล่งที่ไม่น่าเชื่อถือ
🏢 ทำไมองค์กรควรใช้ IT Outsource?
ภัยคุกคามลักษณะนี้แสดงให้เห็นว่า แม้แต่เครื่องนักพัฒนาก็เป็นเป้าหมายสำคัญของแฮกเกอร์
องค์กรที่ไม่มีทีม Security เฉพาะทาง ควรพิจารณาใช้
IT Outsource หรือ บริการดูแลระบบคอมพิวเตอร์ เพื่อช่วย:
-
ตรวจสอบความปลอดภัยของเครื่องพัฒนา (Endpoint Security)
-
ควบคุมนโยบายการติดตั้ง Software
-
ทำ Vulnerability Assessment
-
เฝ้าระวังพฤติกรรมผิดปกติแบบเรียลไทม์
การมีผู้เชี่ยวชาญดูแลระบบช่วยลดความเสี่ยงจากช่องโหว่ที่อาจถูกมองข้าม และปกป้องทรัพย์สินทางปัญญาขององค์กรได้อย่างมีประสิทธิภาพ 🚀
📌 สรุป
ช่องโหว่ในส่วนเสริมยอดนิยมของ VS Code ทั้ง 4 ตัว แสดงให้เห็นว่า “Extension เพียงตัวเดียว” ก็สามารถเป็นจุดเริ่มต้นของการโจมตีทั้งองค์กรได้ 😰
การบริหารจัดการ Software และ Security อย่างรัดกุม โดยเฉพาะผ่าน IT Outsource หรือ บริการดูแลระบบคอมพิวเตอร์ คือแนวทางสำคัญในการป้องกันภัยไซเบอร์ยุคใหม่ 🛡️
ที่มา – https://thehackernews.com/2026/02/critical-flaws-found-in-four-vs-code.html