Malicaj etendoj en VSCode: Nova atakvektoro por instali kriptoministojn sur Vindozo

Visual Studio Code, aŭ simple VSCode, fariĝis unu el la plej ŝatataj iloj por programistoj tra la mondo. Ĝia multflankeco kaj la ebleco aldoni funkciojn per etendaĵoj igas ĝin aparte alloga.Sed ĝuste ĉi tiu malfermo fariĝis enirejo por ciberminacoj, kiuj ekspluatas la fidon de uzantoj.

Dum la lastaj kelkaj tagoj, kelkaj aferoj malkaŝiĝis: Naŭ kromprogramoj en la oficiala VSCode-merkato, kiuj kaŝas malican kodonKvankam ŝajne legitimaj iloj celas plibonigi la disvolvan sperton, ili fakte estas Ili infektas sistemojn per kriptominada programaro destinita por sekrete ekspluati la resursojn de la komputilo.Ĉi tiu malkovro vekis zorgojn inter la programista komunumo kaj elstarigas la bezonon de pli strikta kontrolado de ĉi tiaj platformoj.

Kompromititaj etendaĵoj en la VSCode-Foirejo

La malkovron faris Yuval Ronen, esploristo ĉe la platformo ExtensionTotal, kiu detektis, ke serio da kromprogramoj haveblaj en la Microsoft-portalo por VSCode Ili aktivigis kaŝitan kodon post instaladoĈi tiu kodo permesis la plenumon de PowerShell-skripto, kiu elŝutis kaj instalis en la fono la kriptoministon XMRig, uzatan en kontraŭleĝaj kriptomonejminadaj operacioj kiel Monero kaj Ethereum.

la Trafitaj pakaĵoj estis publikigitaj la 4-an de aprilo 2025, kaj nun estis instaleblaj de iu ajn uzanto sen iuj ajn limigoj. La kromprogramoj Ili estis prezentitaj kiel utilaj iloj, kelkaj rilataj al lingvokompililoj kaj aliaj al artefarita inteligenteco aŭ programistaj iloj.Jen la kompleta listo de raportitaj etendaĵoj:

• Discord Rich Presence por VSCode - de Mark H
• Ruĝa - Roblox Studio Sync - de evaera
• Solidity Compiler – de VSCode-programisto
• Claude AI – de Mark H
• Golang Kompililo - de Mark H
• ChatGPT Agent por VSCode – de Mark H
• HTML-Obfuskatoro – de Mark H
• Python Obfuscator – de Mark H
• Rust-kompililo por VSCode - de Mark H.

Notindas, ke iuj el ĉi tiuj etendaĵoj havis surprize altajn kvantojn da elfluoj; ekzemple, “Discord Rich Presence” montris pli ol 189.000 117.000 instalojn, dum “Rojo – Roblox Studio Sync” havis ĉirkaŭ XNUMX XNUMX. Multaj cibersekurecaj fakuloj atentigis, ke Tiuj ciferoj eble estis artefarite ŝveligitaj por krei ŝajnon de populareco. kaj allogi pli sensuspektajn uzantojn.

Je la tempo de publikaj raportoj, La etendaĵoj daŭre estis haveblaj en la Foirejo, kiu altiris kritikon de Microsoft pro sia manko de tuja respondo al sekurecaj alarmoj. La fakto, ke ĉi tiuj estis instalaĵoj de oficiala fonto, igas la aferon eĉ pli delikata.

Kiel funkcias la atako: teknikoj uzataj de malicaj etendaĵoj

La infektoprocezo komenciĝas tuj post la instalado de la kromprogramo. Tiam, PowerShell-skripto estas efektivigita, kiu estas elŝutita de ekstera adreso: https://asdfqq(.)xyzĈi tiu skripto tiam respondecas pri plenumado de pluraj sekretaj agoj, kiuj permesas al la ministo nesti ene de la trafita komputilo.

Unu el la unuaj aferoj, kiujn la manuskripto faras, estas instalu la veran kromprogramon, kiun la malica persono provis ŝajnigiĈi tio celas eviti suspekton flanke de la uzanto, kiu eble rimarkus ian ajn diferencon en funkciado. Dume, la kodo daŭre funkcias en la fono por malŝalti protektajn mezurojn kaj ebligi al la kripto-ministo funkcii nerimarkite.

Inter la plej rimarkindaj agoj de la manuskripto estas:

• Krei planitajn taskojn kaŝvestita per legitimaj nomoj kiel “OnedriveStartup”.
• Enmeto de malicaj komandoj en la registro de operaciumo, certigante ĝian persistecon trans restartigoj.
• Malaktivigo de bazaj sekurecaj servoj, inkluzive de Windows Update kaj Windows Medic.
• Enkorpigo de la adresaro de la ministo en la Listo de ekskludoj de Windows Defender.

Krome, se la atako malsukcesas administrantaj privilegioj Dum rulado, ĝi uzas teknikon konatan kiel "DLL-kaperado" per falsa MLANG.dll-dosiero. Ĉi tiu taktiko permesas al malica duuma dosiero esti efektivigita imitante legitiman sisteman ruleblan dosieron kiel ComputerDefaults.exe, donante al ĝi la necesajn permesojn por kompletigi la ministan instaladon.

Post kiam la sistemo estas kompromitita, silenta minado kampanjo pri kriptovaluto, kiu konsumas CPU-resursojn sen ke la uzanto facile detektas ĝin. Estis konfirmite, ke la fora servilo ankaŭ gastigas dosierujojn kiel "/npm/", kio levas suspektojn, ke ĉi tiu kampanjo povus etendiĝi al aliaj portaloj kiel NPM. Tamen, ĝis nun, neniu konkreta pruvo estis trovita sur tiu platformo.

Kion fari se vi instalis iun ajn el ĉi tiuj kromprogramoj

Se vi, aŭ iu en via teamo, instalis iujn el la suspektindaj kromprogramoj, Estas prioritato forigi ilin el la labormedioSimple malinstali ilin el la redaktilo ne sufiĉas, ĉar multaj el la agoj faritaj de la skripto estas konstantaj kaj restas eĉ post forigo de la kromprogramo.

Estas plej bone sekvi ĉi tiujn paŝojn:

• Mane forigi planitajn taskojn kiel “OnedriveStartup”.
• Forigu suspektindajn enirojn en la Registro de Vindozo rilata al malica programaro.
• Revizii kaj purigi la koncernajn dosierujojn, precipe tiuj aldonitaj al la listo de ekskludoj.
• Faru plena skanado per ĝisdatigitaj antivirusaj iloj kaj konsideru uzi progresintajn solvojn, kiuj detektas anomalian konduton.

Kaj ĉefe, agu rapide: kvankam la ĉefa damaĝo estas la neaŭtorizita uzo de sistemaj rimedoj (alta konsumo, malrapideco, trovarmiĝo, ktp.), Ne estas ekskludeble, ke la atakantoj eble malfermis aliajn malantaŭajn pordojn..

Ĉi tiu epizodo elstarigis kiom facile estas ekspluati fidon en evoluigaj medioj, eĉ sur platformoj tiel establitaj kiel la oficiala VSCode Marketplace. Tial, uzantoj estas konsilitaj... Zorge kontrolu la originon de iu ajn kromprogramo antaŭ ol instali ĝin, prioritatigu tiujn kun konfirmita uzantaro kaj evitu novajn pakaĵojn de nekonataj programistoj. La disvastiĝo de ĉi tiuj specoj de malicaj kampanjoj montras maltrankviligan realon: evoluigaj medioj, iam konsiderataj sekuraj defaŭlte, Ili ankaŭ povas fariĝi atakvektoroj se fortikaj validigaj kaj kontrolaj protokoloj ne estas efektivigitaj. Nuntempe, la respondeco falas sur kaj platformaj provizantoj kaj programistoj mem, kiuj devas resti atentemaj.