近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现Evelyn Stealer恶意软件持续活跃，其主要攻击目标为开发者群体，可能导敏感信息泄露、系统受控等风险。

Evelyn Stealer是一种针对开发者的信息窃取恶意程序，它借助Visual Studio Code（VS Code）恶意扩展进行传播。当受害者安装了伪装成实用工具的VS Code恶意扩展后，该扩展会释放出伪造的Lightshot.dll组件。在用户使用正版截图工具Lightshot.exe时，此组件被加载执行，进而触发隐藏的PowerShell命令，该命令从远程域名拉取名为iknowyou.model的文件，将其另存为runtime.exe并运行。最终，恶意程序会在设备AppData目录创建Evelyn文件夹，向Edge/Chrome浏览器注入DLL，完成Evelyn Stealer窃取程序的部署。一旦部署成功，该恶意软件能够窃取浏览器密码、Cookie、加密货币钱包、即时通讯记录、VPN配置文件等敏感信息，并将这些数据压缩后上传至攻击者FTP服务器。其特点在于滥用开发者对VS Code应用市场的信任，借助常用工具Lightshot隐藏攻击痕迹，通过多阶段感染链逐步渗透，有效逃避初期检测，一旦感染开发者设备，可能导致源代码、云访问令牌及生产环境凭证等核心资产泄露。

建议相关单位和用户立即组织排查，及时卸载可疑的Visual Studio Code扩展，更新防病毒软件，实施全盘病毒查杀，并可通过及时修复系统安全漏洞、定期备份重要数据、加强开发者安全意识培训等措施，防范网络攻击风险。