VSCode-da bu zərərli genişləndirmələrdən çəkinin

VSCode Marketplace-də 9 zərərli genişləndirmə aşkarlanıb
Zərərli proqram arxa planda mina edən XMRig kriptominer quraşdırır.
Genişləndirmələr qanuni inkişaf alətləri kimi görünürdü
Microsoft hələ bütün zərərli uzantıları silməyib

Visual Studio Code və ya sadəcə olaraq VSCode bütün dünyada proqramçıların sevimli alətlərindən birinə çevrilib. Onun çox yönlü olması və genişləndirmələr vasitəsilə funksionallıq əlavə etmək imkanı onu xüsusilə cəlbedici edir.. Lakin məhz bu açıqlıq istifadəçilərin etibarından istifadə edən kibertəhlükələr üçün qapıya çevrilib.

Son bir neçə gündə bəzi şeylər üzə çıxdı: Rəsmi VSCode Marketplace-də zərərli kodu gizlədən doqquz genişləndirmə. Onlar inkişaf təcrübəsini təkmilləşdirməyə yönəlmiş qanuni kommunal xidmətlər kimi görünsələr də, əslində Onlar sistemləri kompüterin resurslarından gizli şəkildə istifadə etmək üçün nəzərdə tutulmuş kriptomininq proqramı ilə yoluxdururlar.. Bu kəşf tərtibatçı icması arasında narahatlıq yaratdı və bu tip platformalara daha ciddi nəzarətin zəruriliyini vurğulayır.

VSCode Marketplace-də pozulmuş genişləndirmələr

Kəşf ExtensionTotal platformasının tədqiqatçısı Yuval Ronen tərəfindən edilib və o, VSCode üçün Microsoft portalında bir sıra genişləndirmələrin mövcud olduğunu aşkar edib. Quraşdırıldıqdan sonra gizli kodu aktivləşdirdilər. Bu kod, Monero və Ethereum kimi qeyri-qanuni kriptovalyuta mədən əməliyyatlarında istifadə edilən XMRig kriptominerini yükləyən və arxa planda quraşdıran PowerShell skriptinin icrasına icazə verdi.

The Təsirə məruz qalan paketlər 4 aprel 2025-ci ildə buraxıldı, və artıq istənilən istifadəçi tərəfindən heç bir məhdudiyyət olmadan quraşdırıla bilərdi. Uzatmalar Onlar faydalı alətlər kimi təqdim edildi, bəziləri dil tərtibçiləri ilə, digərləri isə süni intellekt və ya tərtibatçı yardım proqramları ilə əlaqədardır.. Aşağıda bildirilmiş genişləndirmələrin tam siyahısı verilmişdir:

VSCode üçün Discord Rich Presence – Mark H
Qırmızı – Roblox Studio Sync – evaera tərəfindən
Solidity Compiler – VSCode Developer tərəfindən
Claude AI - Mark H
Golang Compiler – Mark H
VSCode üçün ChatGPT Agent – Mark H
HTML Obfuscator – Mark H
Python Obfuscator – Mark H
VSCode üçün Rust Kompilyatoru – Mark H

Eksklüziv məzmun - Bura klikləyin Snort izini necə təmizləmək olar?

Qeyd etmək lazımdır ki, bu uzantılardan bəziləri heyrətamiz dərəcədə yüksək boşalma dərəcələrinə malik idi; Məsələn, “Discord Rich Presence” 189.000-dən çox quraşdırma göstərdi, “Rojo – Roblox Studio Sync” isə təxminən 117.000 quraşdırma göstərdi. Bir çox kibertəhlükəsizlik ekspertləri bunu qeyd ediblər Populyarlıq görüntüsü yaratmaq üçün bu rəqəmlər süni şəkildə şişirdilmiş ola bilər. və daha çox şübhəsiz istifadəçiləri cəlb edir.

İctimaiyyətə açıqlanan məlumatlara görə, Artırmalar Marketplace-də mövcud olmağa davam etdi, bu, Microsoft-un təhlükəsizlik xəbərdarlıqlarına dərhal cavab vermədiyi üçün tənqidlərə səbəb oldu. Bunların rəsmi mənbədən olan qurğular olması problemi daha da incələşdirir.

Hücum necə işləyir: zərərli uzantıların istifadə etdiyi üsullar

İnfeksiya prosesi uzantı quraşdırıldıqdan dərhal sonra başlayır. Bu zaman xarici ünvandan endirilən PowerShell skripti icra olunur: https://asdfqq(.)xyz. Bu skript daha sonra mədənçinin təsirlənmiş kompüter daxilində yuva qurmasına imkan verən bir neçə gizli hərəkətin yerinə yetirilməsinə cavabdehdir.

Eksklüziv məzmun - Bura klikləyin Death Stranding-in foto rejimi Böyük Britaniyada Discord-un yaş yoxlamasını aldadır

Ssenarinin etdiyi ilk şeylərdən biri zərərli şəxsin özünü göstərməyə çalışdığı həqiqi uzantı quraşdırın. Bu, funksionallıqda hər hansı bir fərq görə biləcək istifadəçinin şübhələrinin qarşısını almaq üçün nəzərdə tutulub. Bu vaxt, kod qorunma tədbirlərini söndürmək və kriptovalyutanın aşkar edilmədən işləməsinə yol açmaq üçün arxa planda işləməyə davam edir.

Ssenarinin ən diqqətəlayiq hərəkətləri arasında:

Planlaşdırılmış tapşırıqların yaradılması “OnedriveStartup” kimi qanuni adlarla maskalanıb.
Zərərli əmrlərin daxil edilməsi registro del sistema operativo, reboots arasında davamlılığını təmin edir.
Əsas təhlükəsizlik xidmətlərinin deaktiv edilməsiWindows Update və Windows Medic daxil olmaqla.
Mədənçinin kataloqunun daxil edilməsi Windows Defender istisna siyahısı.

Bundan əlavə, əgər hücum uğursuz olarsa administrator imtiyazları İş zamanı o, saxta MLANG.dll faylı vasitəsilə “DLL qaçırma” kimi tanınan texnikadan istifadə edir. Bu taktika ComputerDefaults.exe kimi qanuni icra edilə bilən sistemi təqlid edərək zərərli binarın icrasına imkan verir və ona miner quraşdırmasını tamamlamaq üçün lazımi icazə səviyyəsini verir.

Sistem pozulduqda, a səssiz mədən əməliyyatı istifadəçi asanlıqla aşkar etmədən CPU resurslarını istehlak edən kriptovalyutaların. Uzaq serverin “/npm/” kimi qovluqlara sahib olduğu təsdiqlənib və bu kampaniyanın NPM kimi digər portallara da genişlənəcəyinə dair şübhələr yaranıb. Baxmayaraq ki, bu günə qədər həmin platformada heç bir konkret sübut tapılmayıb.

Bu uzantılardan hər hansı birini quraşdırmısınızsa nə etməli

Siz və ya komandanızdan kimsə şübhəli genişləndirmələrdən hər hansı birini quraşdırmısınızsa, Onların iş mühitindən çıxarılması prioritet məsələdir. Sadəcə onları redaktordan silmək kifayət deyil, çünki skript tərəfindən yerinə yetirilən bir çox hərəkətlər davamlıdır və genişləndirməni sildikdən sonra belə qalır.

Eksklüziv məzmun - Bura klikləyin CM Təhlükəsizlik necə işləyir?

Bu addımları izləmək daha yaxşıdır:

Planlaşdırılmış tapşırıqları əl ilə silin "OnedriveStartup" kimi.
Şübhəli qeydləri silin Windows qeydiyyatı zərərli proqram təminatı ilə bağlıdır.
Təsirə məruz qalan qovluqları nəzərdən keçirin və təmizləyin, xüsusilə istisnalar siyahısına əlavə edilənlər.
Birini yerinə yetirin yenilənmiş antivirus alətləri ilə tam tarama və anormal davranışı aşkar edən qabaqcıl həllərdən istifadə etməyi düşünün.

Və hər şeydən əvvəl, tez hərəkət edin: əsas zərər sistem resurslarının icazəsiz istifadəsi (yüksək istehlak, yavaşlıq, həddindən artıq istiləşmə və s.) Hücum edənlərin başqa arxa qapıları da açmış ola biləcəyi istisna edilmir..

Bu epizod hətta rəsmi VSCode Marketplace kimi qurulmuş platformalarda belə inkişaf mühitlərində etibardan istifadə etməyin nə qədər asan olduğunu vurğuladı. Buna görə də istifadəçilərə tövsiyə olunur Quraşdırmadan əvvəl hər hansı bir uzantının mənbəyini diqqətlə yoxlayın, təsdiqlənmiş istifadəçi bazası olanlara üstünlük verin və naməlum tərtibatçıların yeni paketlərindən qaçın. Bu növ zərərli kampaniyaların çoxalması narahatedici bir reallığı nümayiş etdirir: əvvəllər defolt olaraq təhlükəsiz hesab edilən inkişaf mühitləri, Onlar həmçinin hücum vektorlarına çevrilə bilərlər etibarlı yoxlama və monitorinq protokolları tətbiq edilmədikdə. Hələlik məsuliyyət həm platforma provayderlərinin, həm də ayıq-sayıq qalmalı olan tərtibatçıların özlərinin üzərinə düşür.

Alberto Navarro

Mən öz "geek" maraqlarını peşəyə çevirmiş texnologiya həvəskarıyam. Mən həyatımın 10 ilindən çoxunu qabaqcıl texnologiyadan istifadə edərək və hər cür proqramlarla maraqlanaraq sərf etmişəm. İndi mən kompüter texnologiyası və video oyunları üzrə ixtisaslaşmışam. Bunun səbəbi, 5 ildən artıqdır ki, texnologiya və video oyunlarla bağlı müxtəlif saytlar üçün yazılar yazıram, sizə lazım olan məlumatları hamı üçün başa düşülən dildə verməyə çalışan məqalələr hazırlayıram.

Hər hansı bir sualınız varsa, mənim biliklərim Windows əməliyyat sistemi, eləcə də mobil telefonlar üçün Android ilə əlaqəli hər şeyi əhatə edir. Və mənim öhdəliyim sizədir, mən həmişə bir neçə dəqiqə sərf etməyə və bu internet dünyasında yarana biləcək bütün suallarınızı həll etməyə kömək etməyə hazıram.