- 9 estyniad maleisus wedi'u darganfod yn y VSCode Marketplace
- Mae'r malware yn gosod cryptominer XMRig sy'n mwyngloddio yn y cefndir.
- Roedd yn ymddangos bod yr estyniadau yn arfau datblygu cyfreithlon
- Nid yw Microsoft wedi dileu pob estyniad niweidiol eto
Mae Visual Studio Code, neu VSCCode yn syml, wedi dod yn un o'r hoff offer ar gyfer rhaglenwyr ledled y byd. Mae ei hyblygrwydd a'r posibilrwydd o ychwanegu swyddogaethau trwy estyniadau yn ei wneud yn arbennig o ddeniadol.. Ond yn union mae'r natur agored hwn wedi dod yn borth ar gyfer bygythiadau seiber sy'n manteisio ar ymddiriedaeth defnyddwyr.
Dros y dyddiau diwethaf, mae rhai pethau wedi dod i’r amlwg: Naw estyniad yn y VSCode Marketplace swyddogol sy'n cuddio cod maleisus. Er eu bod yn ymddangos yn gyfleustodau cyfreithlon gyda'r nod o wella'r profiad datblygu, mewn gwirionedd Maent yn heintio systemau gyda meddalwedd cryptomining sydd wedi'i gynllunio i fanteisio'n llechwraidd ar adnoddau'r cyfrifiadur.. Mae'r darganfyddiad hwn wedi codi pryderon ymhlith y gymuned ddatblygwyr ac yn amlygu'r angen am oruchwyliaeth llymach o'r mathau hyn o lwyfannau.
Estyniadau dan fygythiad yn y Farchnad VSCode
Gwnaethpwyd y darganfyddiad gan Yuval Ronen, ymchwilydd ar y platfform ExtensionTotal, a ganfu fod cyfres o estyniadau ar gael ar borth Microsoft ar gyfer VSCode Fe wnaethant actifadu cod cudd ar ôl cael ei osod. Roedd y cod hwn yn caniatáu gweithredu sgript PowerShell a oedd yn lawrlwytho ac yn gosod yn y cefndir y cryptominer XMRig, a ddefnyddir mewn gweithrediadau mwyngloddio cryptocurrency anghyfreithlon fel Monero ac Ethereum.
Y Rhyddhawyd pecynnau yr effeithiwyd arnynt ar Ebrill 4, 2025, ac roeddent eisoes ar gael i'w gosod gan unrhyw ddefnyddiwr heb unrhyw gyfyngiadau. Yr estyniadau Cawsant eu cyflwyno fel offer defnyddiol, rhai yn ymwneud â chasglwyr iaith ac eraill â deallusrwydd artiffisial neu gyfleustodau datblygwyr.. Isod mae rhestr lawn o estyniadau yr adroddwyd amdanynt:
- Presenoldeb Cyfoethog Discord ar gyfer Cod VSC – gan Mark H
- Coch – Roblox Studio Sync – gan evaera
- Crynhoadwr Solidity – gan Ddatblygwr VSCode
- Claude AI – gan Mark H
- Casglwr Golang – gan Mark H
- Asiant ChatGPT ar gyfer VSCod - gan Mark H
- HTML Obfuscator – gan Mark H
- Python Obfuscator - gan Mark H
- Crynhoadwr Rust ar gyfer Cod VSC – gan Mark H
Dylid nodi bod rhai o'r estyniadau hyn roedd ganddo gyfraddau rhyddhau rhyfeddol o uchel; Er enghraifft, dangosodd “Discord Rich Presence” dros 189.000 o osodiadau, tra bod gan “Rojo - Roblox Studio Sync” tua 117.000. Mae llawer o arbenigwyr seiberddiogelwch wedi tynnu sylw at hynny Mae'n bosibl bod y ffigurau hyn wedi'u chwyddo'n artiffisial i greu ymddangosiad o boblogrwydd. a denu mwy o ddefnyddwyr diarwybod.
O amser adroddiadau cyhoeddus, Parhaodd yr estyniadau i fod ar gael yn y Marketplace, a arweiniodd at feirniadaeth o Microsoft am ei ddiffyg ymateb ar unwaith i rybuddion diogelwch. Mae'r ffaith mai gosodiadau o ffynhonnell swyddogol oedd y rhain yn gwneud y broblem hyd yn oed yn fwy bregus.
Sut mae'r ymosodiad yn gweithio: technegau a ddefnyddir gan estyniadau maleisus
Mae'r broses heintio yn dechrau yn syth ar ôl gosod yr estyniad. Ar y pwynt hwnnw, gweithredir sgript PowerShell sy'n cael ei lawrlwytho o gyfeiriad allanol: https://asdfqq(.)xyz. Mae'r sgript hon wedyn yn gyfrifol am berfformio sawl gweithred gudd sy'n caniatáu i'r glöwr nythu o fewn y cyfrifiadur yr effeithir arno.
Un o'r pethau cyntaf mae'r sgript yn ei wneud yw gosod yr estyniad go iawn yr oedd yr un maleisus yn ceisio ei ddynwared. Bwriad hyn yw osgoi amheuaeth ar ran y defnyddiwr a allai sylwi ar unrhyw wahaniaeth yn y swyddogaeth. Yn y cyfamser, mae'r cod yn parhau i redeg yn y cefndir i analluogi mesurau amddiffyn ac yn paratoi'r ffordd i'r glöwr crypto weithredu heb ei ganfod.
Ymhlith gweithredoedd mwyaf nodedig y sgript mae:
- Creu tasgau wedi'u hamserlennu wedi'i guddio ag enwau cyfreithlon fel “OnedriveStartup”.
- Mewnosod gorchmynion maleisus i mewn i'r gofrestrfa system weithredu, gan sicrhau ei ddyfalbarhad ar draws reboots.
- Dadactifadu gwasanaethau diogelwch sylfaenol, gan gynnwys Windows Update a Windows Medic.
- Cynnwys cyfeiriadur y glöwr yn y Rhestr wahardd Windows Defender.
Ar ben hynny, os bydd yr ymosodiad yn methu â llwyddo breintiau gweinyddwr Ar amser rhedeg, mae'n defnyddio techneg o'r enw “herwgipio DLL” trwy ffeil MLANG.dll ffug. Mae'r dacteg hon yn caniatáu i deuaidd maleisus gael ei weithredu trwy ddynwared gweithredadwy system gyfreithlon fel ComputerDefaults.exe, gan roi'r lefel caniatâd angenrheidiol i gwblhau'r gosodiad glöwr.
Unwaith y bydd y system wedi'i pheryglu, a gweithrediad mwyngloddio tawel o cryptocurrencies sy'n defnyddio adnoddau CPU heb i'r defnyddiwr ei ganfod yn hawdd. Cadarnhawyd bod y gweinydd pell hefyd yn cynnal cyfeiriaduron fel “/ npm/,” gan godi amheuon y gallai'r ymgyrch hon fod yn ehangu i byrth eraill fel NPM. Er, hyd yn hyn, ni chanfuwyd unrhyw dystiolaeth bendant ar y platfform hwnnw.
Beth i'w wneud os ydych wedi gosod unrhyw un o'r estyniadau hyn
Os ydych chi, neu rywun ar eich tîm, wedi gosod unrhyw un o'r estyniadau amheus, Mae'n flaenoriaeth eu dileu o'r amgylchedd gwaith. Nid yw dadosod nhw o'r golygydd yn ddigon, gan fod llawer o'r gweithredoedd a gyflawnir gan y sgript yn barhaus ac yn aros hyd yn oed ar ôl tynnu'r estyniad.
Mae'n well dilyn y camau hyn:
- Dileu tasgau a drefnwyd â llaw fel "OnedriveStartup".
- Dileu cofnodion amheus yn y Cofrestr Windows yn ymwneud â malware.
- Adolygu a glanhau'r cyfeiriaduron yr effeithir arnynt, yn enwedig y rhai a ychwanegwyd at y rhestr wahardd.
- Gwnewch sgan llawn gydag offer gwrthfeirws wedi'u diweddaru ac ystyried defnyddio datrysiadau uwch sy'n canfod ymddygiad afreolaidd.
Ac yn anad dim, gweithredwch yn gyflym: er mai'r prif ddifrod yw'r defnydd anawdurdodedig o adnoddau system (defnydd uchel, arafwch, gorboethi, ac ati), Nid yw'n cael ei ddiystyru y gallai'r ymosodwyr fod wedi agor drysau cefn eraill..
Mae'r bennod hon wedi tynnu sylw at ba mor hawdd yw hi i ymelwa ar ymddiriedaeth mewn amgylcheddau datblygu, hyd yn oed ar lwyfannau a sefydlwyd fel y VSCode Marketplace swyddogol. Felly, cynghorir defnyddwyr i Gwiriwch ffynhonnell unrhyw estyniad yn ofalus cyn ei osod, blaenoriaethu'r rhai sydd â sylfaen defnyddwyr wedi'u dilysu ac osgoi pecynnau newydd gan ddatblygwyr anhysbys. Mae amlder y math hwn o ymgyrchoedd maleisus yn dangos realiti pryderus: amgylcheddau datblygu, a ystyriwyd yn ddiogel yn flaenorol yn ddiofyn, Gallant hefyd ddod yn fectorau ymosodiad os na chaiff protocolau dilysu a monitro cadarn eu cymhwyso. Am y tro, mae'r cyfrifoldeb yn disgyn ar y darparwyr platfform a'r datblygwyr eu hunain, sy'n gorfod aros yn wyliadwrus.
Rwy'n frwd dros dechnoleg sydd wedi troi ei ddiddordebau "geek" yn broffesiwn. Rwyf wedi treulio mwy na 10 mlynedd o fy mywyd yn defnyddio technoleg flaengar ac yn tinkering gyda phob math o raglenni allan o chwilfrydedd pur. Nawr rydw i wedi arbenigo mewn technoleg gyfrifiadurol a gemau fideo. Mae hyn oherwydd ers mwy na 5 mlynedd rwyf wedi bod yn ysgrifennu ar gyfer gwefannau amrywiol ar dechnoleg a gemau fideo, gan greu erthyglau sy'n ceisio rhoi'r wybodaeth sydd ei hangen arnoch mewn iaith sy'n ddealladwy i bawb.
Os oes gennych unrhyw gwestiynau, mae fy ngwybodaeth yn amrywio o bopeth sy'n ymwneud â system weithredu Windows yn ogystal ag Android ar gyfer ffonau symudol. Ac mae fy ymrwymiad i chi, rwyf bob amser yn barod i dreulio ychydig funudau a'ch helpu i ddatrys unrhyw gwestiynau sydd gennych yn y byd rhyngrwyd hwn.