- 9 kwaadwillige uitbreidings ontdek in die VSCode Marketplace
- Die wanware installeer 'n XMRig cryptominer wat in die agtergrond myn.
- Die uitbreidings blyk wettige ontwikkelingsinstrumente te wees
- Microsoft het nog nie alle skadelike uitbreidings verwyder nie
Visual Studio Code, of bloot VSCode, het een van die gunsteling gereedskap vir programmeerders regoor die wêreld geword. Die veelsydigheid daarvan en die moontlikheid om funksies by te voeg deur uitbreidings maak dit besonder aantreklik.. Maar juis hierdie openheid het 'n poort geword vir kuberbedreigings wat voordeel trek uit gebruikers se vertroue.
Oor die laaste paar dae het 'n paar dinge aan die lig gekom: Nege uitbreidings in die amptelike VSCode Marketplace wat kwaadwillige kode versteek. Alhoewel dit blykbaar wettige nutsprogramme is wat daarop gemik is om die ontwikkelingservaring te verbeter, in werklikheid Hulle infekteer stelsels met cryptomining-sagteware wat ontwerp is om die rekenaar se hulpbronne stiekem te ontgin.. Hierdie ontdekking het kommer onder die ontwikkelaargemeenskap laat ontstaan en beklemtoon die behoefte aan strenger toesig oor hierdie tipe platforms.
Gekompromitteerde uitbreidings in die VSCode Marketplace
Die ontdekking is gemaak deur Yuval Ronen, 'n navorser by die ExtensionTotal-platform, wat opgespoor het dat 'n reeks uitbreidings beskikbaar is op die Microsoft-portaal vir VSCode Hulle het 'n versteekte kode geaktiveer nadat dit geïnstalleer is. Hierdie kode het die uitvoering van 'n PowerShell-skrip moontlik gemaak wat die XMRig-kriptominer afgelaai en in die agtergrond geïnstalleer het, wat gebruik word in onwettige kriptokurrency-mynbedrywighede soos Monero en Ethereum.
Die Geaffekteerde pakkette is op 4 April 2025 vrygestel, en was reeds beskikbaar om sonder enige beperkings deur enige gebruiker geïnstalleer te word. Die uitbreidings Hulle is aangebied as nuttige hulpmiddels, sommige verwant aan taalsamestellers en ander met kunsmatige intelligensie of ontwikkelaarhulpmiddels.. Hieronder is die volledige lys van gerapporteerde uitbreidings:
- Discord Rich Presence for VSCode – deur Mark H
- Red – Roblox Studio Sync – deur evaera
- Solidity-samesteller – deur VSCode-ontwikkelaar
- Claude AI – deur Mark H
- Golang-samesteller – deur Mark H
- ChatGPT Agent vir VSCode – deur Mark H
- HTML Obfuscator – deur Mark H
- Python Obfuscator – deur Mark H
- Roessamesteller vir VSCode – deur Mark H
Daar moet kennis geneem word dat sommige van hierdie uitbreidings het verbasend hoë ontladingskoerse gehad; Byvoorbeeld, "Discord Rich Presence" het meer as 189.000 installasies getoon, terwyl "Rojo - Roblox Studio Sync" ongeveer 117.000 gehad het. Baie kuberveiligheidskenners het daarop gewys Hierdie figure is moontlik kunsmatig opgeblaas om 'n voorkoms van gewildheid te skep. en lok meer niksvermoedende gebruikers.
Vanaf die tyd van openbare verslae, Die uitbreidings was steeds in die Marketplace beskikbaar, wat gelei het tot kritiek op Microsoft vir sy gebrek aan onmiddellike reaksie op sekuriteitswaarskuwings. Die feit dat dit installasies van 'n amptelike bron was, maak die probleem nog meer delikaat.
Hoe die aanval werk: tegnieke wat deur kwaadwillige uitbreidings gebruik word
Die infeksieproses begin onmiddellik nadat die uitbreiding geïnstalleer is. Op daardie stadium word 'n PowerShell-skrip uitgevoer wat vanaf 'n eksterne adres afgelaai word: https://asdfqq(.)xyz. Hierdie skrif is dan verantwoordelik vir die uitvoer van verskeie geheime aksies wat die mynwerker in staat stel om binne die geaffekteerde rekenaar nes te maak.
Een van die eerste dinge wat die draaiboek doen, is installeer die regte uitbreiding wat die kwaadwillige een probeer naboots het. Dit is bedoel om agterdog te vermy aan die kant van die gebruiker wat enige verskil in funksionaliteit kan opmerk. Intussen loop die kode steeds in die agtergrond om beskermingsmaatreëls uit te skakel en die weg te baan vir die kripto-mynwerker om ongemerk te werk.
Van die mees noemenswaardige aksies van die draaiboek is:
- Skep geskeduleerde take vermom met wettige name soos "OnedriveStartup".
- Invoeging van kwaadwillige opdragte in die bedryfstelsel register, wat die volharding daarvan tydens herlaai verseker.
- Deaktivering van basiese sekuriteitsdienste, insluitend Windows Update en Windows Medic.
- Insluiting van die mynwerker se gids in die Windows Defender-uitsluitingslys.
Verder, as die aanval nie slaag nie administrateur regte Tydens looptyd gebruik dit 'n tegniek bekend as "DLL-kaping" via 'n vals MLANG.dll-lêer. Hierdie taktiek laat toe dat 'n kwaadwillige binêr uitgevoer word deur 'n wettige stelseluitvoerbare soos ComputerDefaults.exe na te boots, wat dit die nodige toestemmingsvlak verleen om die mynwerkerinstallasie te voltooi.
Sodra die stelsel gekompromitteer is, a stille mynbou van kripto-geldeenhede wat SVE-hulpbronne verbruik sonder dat die gebruiker dit maklik opspoor. Die afgeleë bediener is ook bevestig om gidse soos "/npm/" te huisves, wat vermoedens laat ontstaan dat hierdie veldtog na ander portale soos NPM kan uitbrei. Alhoewel daar tot dusver geen konkrete bewyse op daardie platform gevind is nie.
Wat om te doen as jy enige van hierdie uitbreidings geïnstalleer het
As jy, of iemand in jou span, enige van die verdagte uitbreidings geïnstalleer het, Dit is 'n prioriteit om hulle uit die werksomgewing te skakel. Dit is nie genoeg om dit eenvoudig van die redigeerder te verwyder nie, aangesien baie van die aksies wat deur die skrif uitgevoer word, aanhoudend is en bly selfs nadat die uitbreiding verwyder is.
Dit is die beste om hierdie stappe te volg:
- Vee geskeduleerde take handmatig uit as "OnedriveStartup".
- Vee verdagte inskrywings uit in die Windows-register verband hou met wanware.
- Hersien en maak die geaffekteerde gidse skoon, veral dié wat by die uitsluitingslys gevoeg is.
- Maak 'n volledige skandering met opgedateerde antivirus-nutsgoed en oorweeg om gevorderde oplossings te gebruik wat abnormale gedrag opspoor.
En bowenal, tree vinnig op: hoewel die grootste skade die ongemagtigde gebruik van stelselhulpbronne is (hoë verbruik, traagheid, oorverhitting, ens.), Dit is nie uitgesluit dat die aanvallers moontlik ander agterdeure oopgemaak het nie..
Hierdie episode het beklemtoon hoe maklik dit is om vertroue in ontwikkelingsomgewings te ontgin, selfs op platforms wat so gevestig is as die amptelike VSCode Marketplace. Daarom word gebruikers aangeraai om Gaan die bron van enige uitbreiding noukeurig na voordat jy dit installeer, prioritiseer diegene met 'n geverifieerde gebruikersbasis en vermy nuwe pakkette van onbekende ontwikkelaars. Die verspreiding van hierdie tipe kwaadwillige veldtogte demonstreer 'n kommerwekkende werklikheid: ontwikkelingsomgewings, wat voorheen as veilig beskou is, Hulle kan ook aanvalsvektore word indien robuuste validerings- en moniteringsprotokolle nie toegepas word nie. Vir nou val die verantwoordelikheid op beide platformverskaffers en ontwikkelaars self, wat waaksaam moet bly.
Ek is 'n tegnologie-entoesias wat sy "geek"-belangstellings in 'n beroep verander het. Ek het meer as 10 jaar van my lewe bestee om die nuutste tegnologie te gebruik en uit pure nuuskierigheid met allerhande programme te peuter. Nou het ek gespesialiseer in rekenaartegnologie en videospeletjies. Dit is omdat ek al vir meer as 5 jaar vir verskeie webwerwe oor tegnologie en videospeletjies skryf en artikels skep wat poog om jou die inligting te gee wat jy nodig het in 'n taal wat vir almal verstaanbaar is.
As jy enige vrae het, strek my kennis van alles wat verband hou met die Windows-bedryfstelsel sowel as Android vir selfone. En my verbintenis is aan jou, ek is altyd bereid om 'n paar minute te spandeer en jou te help om enige vrae op te los wat jy in hierdie internetwêreld mag hê.