На официальном маркетплейсе расширений Visual Studio Code всплыла история, от которой у команд разработки обычно холодеют руки. Исследователи Koi Security нашли два расширения, которые рекламировались как AI-помощники, работали ровно так, как обещано, и при этом тихо отправляли содержимое файлов на серверы в Китае. Совокупно их установили около 1,5 млн раз.
Речь о ChatGPT - 中文版 с 1,34–1,35 млн установок и ChatMoss (CodeMoss) примерно 150 тыс. установок. В Koi подчеркивают, что у расширений одинаковый вредоносный код и общая инфраструктура, просто разные имена издателей.
Почему это опасно именно для разработчиков
Есть и второй слой, более неприятный. Koi описывает режим удаленного управления сбором файлов: сервер может дать команду и расширение выгребет до 50 файлов из рабочей области без участия пользователя.
Плюс в веб-представлении расширений обнаружили скрытый iframe нулевого размера, который подтягивает коммерческие SDK для аналитики и цифровых отпечатков. В списке упоминаются Zhuge[.]io, GrowingIO, TalkingData и Baidu Analytics, то есть инструменты, которые обычно используют для поведенческой аналитики, а не для редактора кода.
На момент публикации 27 января 2026 года, оба расширения остаются доступными в Marketplace.
Практический смысл для компаний простой. Если такой помощник стоял у разработчика, под риском не только исходники. Под ударом оказываются ключи, токены, конфиги, секреты в репозитории и в рабочих директориях. Это уже не история про утечку кода, а про потенциальный доступ к облакам и инфраструктуре.
Вторая история от Koi: PackageGate и обход защит в менеджерах пакетов
Почти одновременно Koi рассказала о другой проблеме цепочки поставок, на этот раз в JavaScript-экосистеме. Исследователи описали шесть уязвимостей в npm, pnpm, vlt и Bun, которые позволяют обходить привычные защитные меры, используемые после громких атак через install-скрипты. Речь про попытки перепрыгнуть через запрет на выполнение скриптов установки и про обход проверки целостности lockfile. Этот набор они назвали PackageGate.
Часть проблем уже закрыта: pnpm выпустил исправления, связанные с CVE-2025-69263 и CVE-2025-69264, а также были патчи у vlt и Bun.  Самый спорный момент в том, что npm, по словам Koi, отказался чинить одну из уязвимостей, заявив, что это ожидаемое поведение, и ответственность лежит на пользователях.
Обе истории про одно и то же, только с разных сторон. Инструменты разработчика стали частью поверхности атаки. Раньше риски обсуждали вокруг серверов и приложений. Сейчас под ударом может быть расширение редактора или механизм установки зависимостей.
Если коротко по гигиене, которая реально помогает: проверять список расширений в VS Code, не ставить малоизвестные AI-плагины в рабочие окружения, а при обнаружении таких установок считать скомпрометированными все секреты, которые могли лежать рядом с кодом. И отдельно, не воспринимать ignore-scripts и lockfile как броню. Это полезные меры, но, как показал PackageGate, они не закрывают все сценарии атак, если инструменты установки можно обойти.
