پسوندهای مخرب در VSCode: یک بردار حمله جدید برای نصب cryptominers در ویندوز

Visual Studio Code یا به سادگی VSCode به یکی از ابزارهای مورد علاقه برنامه نویسان در سراسر جهان تبدیل شده است. تطبیق پذیری آن و امکان افزودن قابلیت ها از طریق افزونه ها آن را به ویژه جذاب می کند.. اما دقیقاً این گشودگی به دروازه ای برای تهدیدات سایبری تبدیل شده است که از اعتماد کاربران سوء استفاده می کنند.

در چند روز گذشته مواردی آشکار شده است: نه برنامه افزودنی در بازار رسمی VSCode که کدهای مخرب را پنهان می کنند. در حالی که به نظر می رسد آنها ابزارهای مشروعی هستند که هدفشان بهبود تجربه توسعه است، اما در واقعیت آنها سیستم ها را با نرم افزارهای رمزنگاری که برای بهره برداری مخفیانه از منابع کامپیوتر طراحی شده اند آلوده می کنند.. این کشف نگرانی‌هایی را در میان جامعه توسعه‌دهندگان ایجاد کرده و نیاز به نظارت دقیق‌تر بر این نوع پلتفرم‌ها را برجسته می‌کند.

برنامه های افزودنی به خطر افتاده در بازار VSCode

این کشف توسط یووال رونن، محقق پلتفرم ExtensionTotal انجام شد که متوجه شد یک سری افزونه در پورتال مایکروسافت برای VSCode موجود است. آنها پس از نصب یک کد مخفی را فعال کردند. این کد اجازه اجرای یک اسکریپت PowerShell را می‌دهد که رمزنگاری XMRig را که در عملیات استخراج غیرقانونی ارزهای دیجیتال مانند Monero و Ethereum استفاده می‌شود، دانلود و در پس‌زمینه نصب می‌کند.

ل بسته های تحت تأثیر در 4 آوریل 2025 منتشر شدند، و قبلاً برای نصب توسط هر کاربری بدون هیچ محدودیتی در دسترس بودند. پسوندها آنها به عنوان ابزار مفیدی ارائه شدند، برخی مربوط به کامپایلرهای زبان و برخی دیگر به هوش مصنوعی یا ابزارهای توسعه دهنده.. لیست کامل افزونه های گزارش شده در زیر آمده است:

• Discord Rich Presence برای VSCode – توسط Mark H
• قرمز – Roblox Studio Sync – توسط evaera
• Solidity Compiler – توسط VSCode Developer
• کلود هوش مصنوعی – اثر مارک اچ
• کامپایلر گلانگ – اثر مارک اچ
• ChatGPT Agent برای VSCode – توسط Mark H
• HTML Obfuscator – توسط Mark H
• Python Obfuscator – اثر مارک اچ
• Rust Compiler برای VSCode – توسط Mark H

لازم به ذکر است که برخی از این پسوندها نرخ تخلیه به طرز شگفت انگیزی بالا بود; برای مثال، «Discord Rich Presence» بیش از 189.000 نصب را نشان داد، در حالی که «Rojo – Roblox Studio Sync» حدود 117.000 نصب داشت. بسیاری از کارشناسان امنیت سایبری به این موضوع اشاره کرده اند این ارقام ممکن است به طور مصنوعی متورم شده باشند تا ظاهری از محبوبیت ایجاد کنند. و کاربران بی خبر بیشتری را جذب کند.

تا زمان گزارش های عمومی، برنامه های افزودنی همچنان در بازار موجود بودند، که منجر به انتقاد از مایکروسافت به دلیل عدم پاسخگویی فوری به هشدارهای امنیتی شد. این واقعیت که اینها از یک منبع رسمی نصب شده بودند، مشکل را ظریف تر می کند.

نحوه عملکرد حمله: تکنیک هایی که توسط افزونه های مخرب استفاده می شود

فرآیند عفونت بلافاصله پس از نصب افزونه آغاز می شود. در آن مرحله، یک اسکریپت PowerShell اجرا می شود که از یک آدرس خارجی دانلود می شود: https://asdfqq(.)xyz. سپس این اسکریپت مسئول انجام چندین عمل مخفی است که به ماینر اجازه می دهد در رایانه آسیب دیده لانه کند.

یکی از اولین کارهایی که فیلمنامه انجام می دهد این است برنامه افزودنی واقعی را که شخص مخرب سعی در جعل هویت آن داشت را نصب کنید. این برای جلوگیری از سوء ظن از جانب کاربر است که ممکن است متوجه تفاوت در عملکرد شود. در همین حال، کد همچنان در پس‌زمینه اجرا می‌شود تا اقدامات حفاظتی را غیرفعال کند و راه را برای ماینر کریپتو هموار کند تا بدون شناسایی کار کند.

از مهمترین اقدامات فیلمنامه می توان به موارد زیر اشاره کرد:

• ایجاد وظایف برنامه ریزی شده پنهان شده با نام های قانونی مانند "OnedriveStartup".
• درج دستورات مخرب در رجیستری سیستم عامل، از ماندگاری آن در طول راه اندازی مجدد اطمینان حاصل می کند.
• غیرفعال کردن خدمات اولیه امنیتیاز جمله Windows Update و Windows Medic.
• گنجاندن دایرکتوری ماینر در لیست حذف ویندوز دیفندر.

علاوه بر این، اگر حمله موفق نشود امتیازات سرپرست در زمان اجرا، از تکنیکی استفاده می کند که به عنوان "رباینده DLL" از طریق یک فایل جعلی MLANG.dll شناخته می شود. این تاکتیک به یک باینری مخرب اجازه می دهد تا با تقلید از یک سیستم اجرایی قانونی مانند ComputerDefaults.exe اجرا شود و سطح مجوز لازم برای تکمیل نصب ماینر را به آن اعطا کند.

هنگامی که سیستم به خطر بیفتد، الف عملیات استخراج بی صدا ارزهای دیجیتالی که منابع CPU را مصرف می کنند بدون اینکه کاربر به راحتی آن را تشخیص دهد. تایید شده است که سرور راه دور همچنین میزبان دایرکتوری هایی مانند "/npm/" است، که این ظن را ایجاد می کند که این کمپین ممکن است به پورتال های دیگری مانند NPM گسترش یابد. اگرچه تا کنون هیچ مدرک مشخصی بر روی آن پلتفرم یافت نشده است.

اگر هر یک از این افزونه ها را نصب کرده اید چه کاری باید انجام دهید

اگر شما یا فردی در تیمتان هر یک از افزونه های مشکوک را نصب کرده اید، حذف آنها از محیط کار در اولویت است. صرفاً حذف نصب آنها از ویرایشگر کافی نیست، زیرا بسیاری از اقدامات انجام شده توسط اسکریپت پایدار هستند و حتی پس از حذف برنامه افزودنی باقی می مانند.

بهتر است این مراحل را دنبال کنید:

• کارهای برنامه ریزی شده را به صورت دستی حذف کنید به عنوان "OnedriveStartup".
• حذف ورودی های مشکوک در ثبت نام ویندوز مربوط به بدافزار
• دایرکتوری های آسیب دیده را بررسی و پاک کنید، به ویژه آنهایی که به لیست حذف اضافه شده اند.
• یک اسکن کامل با ابزارهای آنتی ویروس به روز شده و استفاده از راه حل های پیشرفته ای را در نظر بگیرید که رفتار غیرعادی را تشخیص می دهد.

و بالاتر از همه، سریع عمل کنید: اگرچه آسیب اصلی استفاده غیرمجاز از منابع سیستم (مصرف زیاد، کندی، گرمای بیش از حد و غیره) است. بعید نیست که مهاجمان درهای پشتی دیگری را باز کرده باشند..

این قسمت نشان می دهد که چقدر آسان است که از اعتماد در محیط های توسعه بهره برداری کنید، حتی در پلتفرم هایی که به عنوان بازار رسمی VSCode ایجاد شده است. بنابراین به کاربران توصیه می شود قبل از نصب هر افزونه، منبع آن را به دقت بررسی کنید، کسانی که دارای پایگاه کاربر تأیید شده هستند را در اولویت قرار دهید و از بسته های جدید توسعه دهندگان ناشناس اجتناب کنید. گسترش این نوع کمپین های مخرب واقعیت نگران کننده ای را نشان می دهد: محیط های توسعه که قبلاً به طور پیش فرض ایمن در نظر گرفته می شدند. آنها همچنین می توانند به بردارهای حمله تبدیل شوند اگر پروتکل های اعتبارسنجی و نظارت قوی اعمال نشود. در حال حاضر، مسئولیت هم بر عهده ارائه دهندگان پلتفرم و هم خود توسعه دهندگان است که باید هوشیار باشند.