Amazing (@black-fruit) 在对于VSCode插件“投毒”的更进一步研究，或许NodeJS程序都不那么安全？中发帖接上一篇 https://linux.do/t/topic/1008584 这一次我编写了一个传统的NodeJS程序(Electron程序)，以VSCode同样的手法，通过Node-PTY Host作为终端的桥梁，再一次复现了上一次VSCode插件木马渗透计算机的事件，且这一次Electron访问用户的根目录在macOS上甚至没有请求用户权限直接就访问成功的情况

Amazing (@black-fruit) 在对于VSCode插件“投毒”的更进一步研究，或许NodeJS程序都不那么安全？中发帖

接上一篇 https://linux.do/t/topic/1008584 
这一次我编写了一个传统的NodeJS程序(Electron程序)，以VSCode同样的手法，通过Node-PTY Host作为终端的桥梁，再一次复现了上一次VSCode插件木马渗透计算机的事件，且这一次Electron访问用户的根目录在macOS上甚至没有请求用户权限直接就访问成功的情况。 
复现
启动服务器
 [Screenshot 2025-10-05 at 11.51.21 AM] 
启动含有木马的Electron程序
 [Screenshot 2025-10-05 at 11.52.16 AM] 
服务器接收成功
 [Screenshot 2025-10-05 at 11.53.52 AM] 
成功访问
警示
不要在某些小网站（比如xx软件园）这种地方下载Node软件，包含木马窃取信息你压根不知道 
Wi...