Makadaot nga mga extension sa VSCode: Usa ka bag-ong vector sa pag-atake alang sa pag-install sa mga cryptominer sa Windows

Ang Visual Studio Code, o yano nga VSCode, nahimong usa sa mga paboritong himan alang sa mga programmer sa tibuok kalibutan. Ang versatility niini ug ang posibilidad sa pagdugang sa mga gamit pinaagi sa mga extension naghimo niini nga labi ka madanihon.. Apan tukma nga kini nga pagkabukas nahimong ganghaan alang sa mga hulga sa cyber nga nagpahimulos sa pagsalig sa mga tiggamit.

Sa miaging pipila ka mga adlaw, pipila ka mga butang ang nahayag: Siyam ka extension sa opisyal nga VSCode Marketplace nga nagtago sa malisyoso nga code. Samtang sila makita nga lehitimong mga utilities nga gitumong sa pagpalambo sa kasinatian sa kalamboan, sa pagkatinuod Gi-infect nila ang mga sistema nga adunay cryptomining software nga gidesinyo sa tago nga pahimuslan ang mga kapanguhaan sa kompyuter.. Kini nga pagkadiskobre nagpatunghag mga kabalaka sa komunidad sa developer ug nagpasiugda sa panginahanglan alang sa mas estrikto nga pagdumala niining mga matang sa mga plataporma.

Nakompromiso nga mga extension sa VSCode Marketplace

Ang nadiskobrehan gihimo ni Yuval Ronen, usa ka tigdukiduki sa ExtensionTotal nga plataporma, kinsa nakamatikod nga usa ka serye sa mga extension nga anaa sa Microsoft portal alang sa VSCode Gi-aktibo nila ang usa ka tinago nga code pagkahuman na-install. Kini nga code nagtugot sa pagpatuman sa usa ka PowerShell script nga nag-download ug nag-install sa background sa XMRig cryptominer, nga gigamit sa mga ilegal nga operasyon sa pagmina sa cryptocurrency sama sa Monero ug Ethereum.

Ang Ang mga apektadong pakete gipagawas kaniadtong Abril 4, 2025, ug magamit na aron ma-install sa bisan kinsa nga tiggamit nga wala’y bisan unsang mga pagdili. Ang mga extension Gipresentar sila isip mapuslanong mga himan, ang uban may kalabotan sa mga tigkompiler sa pinulongan ug ang uban sa artificial intelligence o developer utilities.. Sa ubos mao ang bug-os nga lista sa gitaho nga mga extension:

• Discord Rich Presence para sa VSCode - ni Mark H
• Pula - Roblox Studio Sync - ni evaera
• Solidity Compiler - ni VSCode Developer
• Claude AI - ni Mark H
• Golang Compiler – ni Mark H
• Ahente sa ChatGPT alang sa VSCode - ni Mark H
• HTML Obfuscator – ni Mark H
• Python Obfuscator – ni Mark H
• Rust Compiler para sa VSCode - ni Mark H

Kini kinahanglan nga matikdan nga ang pipila niini nga mga extension adunay katingad-an nga taas nga rate sa pagdiskarga; Pananglitan, ang "Discord Rich Presence" nagpakita sa kapin sa 189.000 nga pag-install, samtang ang "Rojo - Roblox Studio Sync" adunay mga 117.000. Daghang mga eksperto sa cybersecurity ang nagpunting niana Kini nga mga numero mahimo nga artipisyal nga gipaburot aron makahimo usa ka hitsura sa pagkapopular. ug pagdani sa mas daghang walay pagduda nga tiggamit.

Sa panahon sa mga taho sa publiko, Ang mga extension nagpadayon nga magamit sa Marketplace, nga misangpot sa pagsaway sa Microsoft tungod sa kakulang sa diha-diha nga tubag sa mga alerto sa seguridad. Ang kamatuoran nga kini mga instalasyon gikan sa usa ka opisyal nga tinubdan naghimo sa problema nga mas delikado.

Giunsa paglihok ang pag-atake: mga teknik nga gigamit sa mga malisyosong extension

Ang proseso sa impeksyon magsugod dayon human ma-install ang extension. Nianang puntoha, usa ka PowerShell script ang gipatuman nga gi-download gikan sa usa ka eksternal nga adres: https://asdfqq(.)xyz. Kini nga script mao ang responsable sa paghimo sa daghang mga tago nga aksyon nga nagtugot sa minero nga magsalag sulod sa apektadong computer.

Usa sa unang mga butang nga gibuhat sa script mao ang i-install ang tinuod nga extension nga gisulayan nga i-impersonate sa malisyoso. Kini gituyo aron malikayan ang pagduda sa bahin sa tiggamit nga mahimong makamatikod sa bisan unsang kalainan sa pagpaandar. Sa kasamtangan, ang code nagpadayon sa pagdagan sa background aron sa pag-disable sa mga lakang sa pagpanalipod ug paghatag sa dalan alang sa crypto minero nga molihok nga dili mamatikdan.

Lakip sa labing inila nga mga aksyon sa script mao ang:

• Paghimo sa naka-iskedyul nga mga buluhaton nagtakuban sa mga lehitimong ngalan sama sa "OnedriveStartup".
• Pagsulod sa malisyosong mga sugo ngadto sa registro del sistema operativo, pagsiguro sa pagpadayon niini sa mga pag-reboot.
• Pag-deactivate sa mga batakang serbisyo sa seguridad, lakip ang Windows Update ug Windows Medic.
• Paglakip sa direktoryo sa minero sa Windows Defender nga lista sa dili apil.

Dugang pa, kung ang pag-atake mapakyas nga molampos mga pribilehiyo sa administrador Sa runtime, kini naggamit sa usa ka teknik nga nailhan nga "DLL hijacking" pinaagi sa usa ka peke nga MLANG.dll file. Kini nga taktika nagtugot sa usa ka malisyoso nga binary nga ipatuman pinaagi sa pagsundog sa usa ka lehitimong sistema nga ma-executable sama sa ComputerDefaults.exe, nga naghatag niini sa gikinahanglan nga lebel sa pagtugot aron makompleto ang pag-instalar sa minero.

Sa higayon nga makompromiso ang sistema, a hilom nga operasyon sa pagmina sa mga cryptocurrencies nga naggamit sa mga kapanguhaan sa CPU nga wala’y dali nga makit-an sa tiggamit. Gipamatud-an nga ang hilit nga server nag-host usab sa mga direktoryo sama sa "/ npm /," nga nagpataas sa mga pagduda nga kini nga kampanya mahimong molapad sa ubang mga portal sama sa NPM. Bisan pa, hangtod karon, wala’y konkretong ebidensya nga nakit-an sa kana nga plataporma.

Unsa ang buhaton kung na-install nimo ang bisan unsang mga extension

Kung ikaw, o usa ka tawo sa imong team, nag-install sa bisan unsang kadudahang mga extension, Usa ka prayoridad ang pagwagtang kanila gikan sa palibot sa trabahoan. Ang pag-uninstall lang niini gikan sa editor dili igo, tungod kay daghan sa mga aksyon nga gihimo sa script ang nagpadayon ug nagpabilin bisan human sa pagtangtang sa extension.

Labing maayo nga sundon kini nga mga lakang:

• Manwal nga tangtangon ang nakaeskedyul nga mga buluhaton isip "OnedriveStartup".
• I-delete ang mga kadudahang entries sa Rehistro sa Windows may kalabutan sa malware.
• Ribyuha ug limpyohan ang naapektuhan nga mga direktoryo, ilabi na kadtong gidugang sa listahan sa dili apil.
• Paghimo og usa ka bug-os nga pag-scan gamit ang na-update nga mga himan sa antivirus ug ikonsiderar ang paggamit sa mga advanced nga solusyon nga nakamatikod sa anomaliya nga pamatasan.

Ug labaw sa tanan, paglihok dayon: bisan kung ang panguna nga kadaot mao ang dili awtorisado nga paggamit sa mga kapanguhaan sa sistema (taas nga konsumo, pagkahinay, sobrang kainit, ug uban pa). Dili isalikway nga ang mga tig-atake mahimong nagbukas sa ubang mga pultahan sa likod..

Gipasiugda sa kini nga yugto kung unsa kadali ang pagpahimulos sa pagsalig sa mga palibot sa pag-uswag, bisan sa mga platform nga gitukod ingon opisyal nga VSCode Marketplace. Busa, ang mga tiggamit gitambagan sa Susiha pag-ayo ang tinubdan sa bisan unsang extension sa dili pa kini i-install, unahon kadtong adunay napamatud-an nga base sa tiggamit ug likayi ang mga bag-ong pakete gikan sa wala mailhi nga mga developer. Ang pagdagsang niini nga matang sa malisyosong mga kampanya nagpakita sa usa ka makapabalaka nga kamatuoran: development environment, kaniadto gikonsiderar nga luwas pinaagi sa default, Mahimo usab sila nga mga vector sa pag-atake kung ang lig-on nga validation ug monitoring protocol wala magamit. Sa pagkakaron, ang responsibilidad anaa sa duha ka platform providers ug developers mismo, kinsa kinahanglang magpabiling mabinantayon.