Škodlivá rozšíření ve VSCode: Nový vektor útoku pro instalaci kryptominerů na Windows

Visual Studio Code, nebo jednoduše VSCode, se stal jedním z oblíbených nástrojů programátorů po celém světě. Jeho všestrannost a možnost přidávat funkce prostřednictvím rozšíření jej činí obzvláště atraktivním.. Ale právě tato otevřenost se stala vstupní branou pro kybernetické hrozby, které využívají důvěry uživatelů.

V posledních dnech vyšly najevo některé věci: Devět rozšíření na oficiálním trhu VSCode Marketplace, které skrývají škodlivý kód. I když se zdají být legitimními nástroji zaměřenými na zlepšení zkušeností s vývojem, ve skutečnosti Infikují systémy šifrovacím softwarem navrženým tak, aby tajně využíval zdroje počítače.. Tento objev vyvolal obavy vývojářské komunity a zdůrazňuje potřebu přísnějšího dohledu nad těmito typy platforem.

Kompromitovaná rozšíření na VSCode Marketplace

Objev učinil Yuval Ronen, výzkumník na platformě ExtensionTotal, který zjistil, že řada rozšíření dostupných na portálu Microsoft pro VSCode Po instalaci aktivovali skrytý kód. Tento kód umožnil spuštění skriptu PowerShell, který stáhl a na pozadí nainstaloval kryptominer XMRig používaný při nelegálních operacích těžby kryptoměn, jako jsou Monero a Ethereum.

L Dotčené balíčky byly vydány 4. dubna 2025, a byly již dostupné k instalaci jakýmkoli uživatelem bez jakýchkoli omezení. Rozšíření Byly prezentovány jako užitečné nástroje, některé související s překladači jazyků a jiné s umělou inteligencí nebo vývojářskými nástroji.. Níže je uveden úplný seznam nahlášených rozšíření:

• Discord Rich Presence pro VSCode – od Marka H
• Červená – Roblox Studio Sync – od evaera
• Solidity Compiler – od VSCode Developer
• Claude AI - Mark H
• Golang Compiler – od Marka H
• ChatGPT Agent pro VSCode – od Marka H
• HTML Obfuscator – od Marka H
• Python Obfuscator – od Marka H
• Rust Compiler pro VSCode – od Marka H

Je třeba poznamenat, že některá z těchto rozšíření měl překvapivě vysokou rychlost vybíjení; Například „Discord Rich Presence“ vykázal více než 189.000 117.000 instalací, zatímco „Rojo – Roblox Studio Sync“ měl přibližně XNUMX XNUMX. Upozorňuje na to řada odborníků na kybernetickou bezpečnost Tyto údaje mohly být uměle nafouknuté, aby vytvořily zdání popularity. a přilákat více nic netušících uživatelů.

V době veřejných zpráv, Rozšíření byla nadále dostupná na Marketplace, což vedlo ke kritice společnosti Microsoft za nedostatečnou okamžitou reakci na bezpečnostní výstrahy. Skutečnost, že se jednalo o instalace z oficiálního zdroje, činí problém ještě choulostivějším.

Jak útok funguje: techniky používané škodlivými rozšířeními

Proces infekce začíná okamžitě po instalaci rozšíření. V tomto okamžiku se spustí skript PowerShell, který se stáhne z externí adresy: https://asdfqq(.)xyz. Tento skript je pak zodpovědný za provedení několika skrytých akcí, které umožňují těžaři vnořit se do postiženého počítače.

Jedna z prvních věcí, které skript dělá, je nainstalujte skutečné rozšíření, za které se škodlivý snažil vydávat. To má zabránit podezření ze strany uživatele, který by si mohl všimnout rozdílu ve funkčnosti. Mezitím kód nadále běží na pozadí, aby deaktivoval ochranná opatření a připravil cestu pro nedetekovaného těžaře kryptoměn.

Mezi nejpozoruhodnější akce skriptu patří:

• Vytváření naplánovaných úkolů maskované legitimními názvy jako „OnedriveStartup“.
• Vkládání škodlivých příkazů do registru operačního systému, zajišťující jeho přetrvávání po restartování.
• Deaktivace základních bezpečnostních služeb, včetně Windows Update a Windows Medic.
• Zařazení těžařského adresáře do Seznam vyloučení programu Windows Defender.

Navíc, pokud se útok nezdaří oprávnění správce Za běhu využívá techniku ​​známou jako „DLL únos“ prostřednictvím falešného souboru MLANG.dll. Tato taktika umožňuje spuštění škodlivého binárního souboru napodobováním legitimního spustitelného souboru systému, jako je ComputerDefaults.exe, a uděluje mu potřebnou úroveň oprávnění k dokončení instalace těžaře.

Jakmile je systém kompromitován, a tichý těžební provoz kryptoměn, které spotřebovávají zdroje CPU, aniž by to uživatel snadno odhalil. Bylo potvrzeno, že vzdálený server také hostí adresáře jako „/npm/“, což vyvolává podezření, že by se tato kampaň mohla rozšířit na další portály, jako je NPM. I když zatím na této platformě nebyly nalezeny žádné konkrétní důkazy.

Co dělat, pokud jste nainstalovali některé z těchto rozšíření

Pokud jste vy nebo někdo z vašeho týmu nainstalovali některé z podezřelých rozšíření, Prioritou je jejich odstranění z pracovního prostředí. Pouhá jejich odinstalace z editoru nestačí, protože mnoho akcí prováděných skriptem je trvalých a zůstává i po odstranění rozšíření.

Nejlepší je postupovat podle těchto kroků:

• Ručně odstraňte naplánované úlohy jako „OnedriveStartup“.
• Smažte podezřelé záznamy v Registr Windows související s malwarem.
• Zkontrolujte a vyčistěte postižené adresáře, zejména ty, které byly přidány na seznam vyloučení.
• provést podrobné úplné skenování s aktualizovanými antivirovými nástroji a zvažte použití pokročilých řešení, která detekují anomální chování.

A hlavně jednat rychle: ačkoli hlavní škodou je neoprávněné použití systémových prostředků (vysoká spotřeba, pomalost, přehřívání atd.), Není vyloučeno, že si útočníci mohli otevřít další zadní vrátka..

Tato epizoda zdůraznila, jak snadné je zneužít důvěru ve vývojová prostředí, a to i na platformách zavedených jako oficiální VSCode Marketplace. Proto se uživatelům doporučuje Před instalací jakéhokoli rozšíření pečlivě zkontrolujte zdroj, upřednostněte ty s ověřenou uživatelskou základnou a vyhněte se novým balíčkům od neznámých vývojářů. Šíření tohoto typu škodlivých kampaní ukazuje znepokojivou realitu: vývojová prostředí, která byla dříve standardně považována za bezpečná, Mohou se také stát vektory útoku pokud nejsou použity robustní protokoly ověřování a monitorování. Odpovědnost zatím padá na poskytovatele platforem i samotné vývojáře, kteří musí zůstat ostražití.