- 9 ekstensi berbahaya ditemukan di VSCode Marketplace
- Malware tersebut memasang penambang kripto XMRig yang menambang di latar belakang.
- Ekstensi tersebut tampaknya merupakan alat pengembangan yang sah
- Microsoft belum menghapus semua ekstensi berbahaya
Visual Studio Code, atau singkatnya VSCode, telah menjadi salah satu alat favorit bagi para programmer di seluruh dunia. Fleksibilitasnya dan kemungkinan penambahan fungsionalitas melalui ekstensi menjadikannya sangat menarik.. Namun justru keterbukaan ini telah menjadi pintu gerbang bagi ancaman dunia maya yang mengambil keuntungan dari kepercayaan pengguna.
Selama beberapa hari terakhir, beberapa hal telah terungkap: Sembilan ekstensi di VSCode Marketplace resmi yang menyembunyikan kode berbahaya. Meskipun mereka tampak seperti utilitas sah yang bertujuan untuk meningkatkan pengalaman pengembangan, pada kenyataannya Mereka menginfeksi sistem dengan perangkat lunak penambangan kripto yang dirancang untuk mengeksploitasi sumber daya komputer secara diam-diam.. Penemuan ini telah menimbulkan kekhawatiran di kalangan komunitas pengembang dan menyoroti perlunya pengawasan yang lebih ketat terhadap jenis platform ini.
Ekstensi yang disusupi di VSCode Marketplace
Penemuan ini dilakukan oleh Yuval Ronen, seorang peneliti di platform ExtensionTotal, yang mendeteksi bahwa serangkaian ekstensi tersedia di portal Microsoft untuk VSCode Mereka mengaktifkan kode tersembunyi setelah diinstal. Kode ini memungkinkan eksekusi skrip PowerShell yang mengunduh dan memasang penambang kripto XMRig di latar belakang, yang digunakan dalam operasi penambangan mata uang kripto ilegal seperti Monero dan Ethereum.
Los Paket yang terkena dampak dirilis pada tanggal 4 April 2025, dan sudah tersedia untuk diinstal oleh pengguna mana pun tanpa batasan apa pun. Ekstensi Mereka disajikan sebagai alat yang berguna, beberapa terkait dengan penyusun bahasa dan yang lainnya terkait dengan kecerdasan buatan atau utilitas pengembang.. Berikut ini adalah daftar lengkap ekstensi yang dilaporkan:
- Kehadiran Kaya Discord untuk VSCode – oleh Mark H
- Merah – Roblox Studio Sync – oleh evaera
- Kompiler Solidity – oleh Pengembang VSCode
- Claude AI – oleh Mark H
- Kompiler Golang – oleh Mark H
- Agen ChatGPT untuk VSCode – oleh Mark H
- Pengabur HTML – oleh Mark H
- Python Obfuscator – oleh Mark H
- Kompiler Rust untuk VSCode – oleh Mark H
Perlu dicatat bahwa beberapa ekstensi ini memiliki tingkat pembuangan yang sangat tinggiBahasa Indonesia: Misalnya, “Discord Rich Presence” menunjukkan lebih dari 189.000 penginstalan, sementara “Rojo – Roblox Studio Sync” memiliki sekitar 117.000. Banyak pakar keamanan siber telah menunjukkan bahwa Angka-angka ini mungkin telah digelembungkan secara artifisial untuk menciptakan kesan popularitas. dan menarik lebih banyak pengguna yang tidak menaruh curiga.
Pada saat laporan publik dibuat, Ekstensi tersebut tetap tersedia di Marketplace, yang menyebabkan kritik terhadap Microsoft karena kurangnya tanggapan langsung terhadap peringatan keamanan. Fakta bahwa ini adalah instalasi dari sumber resmi membuat masalahnya menjadi lebih rumit.
Cara kerja serangan: teknik yang digunakan oleh ekstensi jahat
Proses infeksi dimulai segera setelah ekstensi dipasang. Pada titik itu, skrip PowerShell dijalankan yang diunduh dari alamat eksternal: https://asdfqq(.)xyz. Skrip ini kemudian bertanggung jawab untuk melakukan beberapa tindakan rahasia yang memungkinkan penambang bersarang di komputer yang terpengaruh.
Salah satu hal pertama yang dilakukan skrip adalah instal ekstensi asli yang ingin ditiru oleh orang jahat. Hal ini dimaksudkan untuk menghindari kecurigaan di pihak pengguna yang mungkin melihat adanya perbedaan dalam fungsionalitas. Sementara itu, kode tersebut terus berjalan di latar belakang untuk menonaktifkan tindakan perlindungan dan membuka jalan bagi penambang kripto untuk beroperasi tanpa terdeteksi.
Di antara tindakan yang paling menonjol dalam naskah tersebut adalah:
- Membuat tugas terjadwal disamarkan dengan nama sah seperti “OnedriveStartup”.
- Penyisipan perintah berbahaya ke dalam registri sistem operasi, memastikan ketahanannya terhadap berbagai kali reboot.
- Penonaktifan layanan keamanan dasar, termasuk Pembaruan Windows dan Windows Medic.
- Penyertaan direktori penambang di Daftar pengecualian Windows Defender.
Selain itu, jika serangan tersebut gagal, hak administrator Saat dijalankan, ia menggunakan teknik yang dikenal sebagai “pembajakan DLL” melalui file MLANG.dll palsu. Taktik ini memungkinkan biner berbahaya dieksekusi dengan meniru eksekusi sistem yang sah seperti ComputerDefaults.exe, memberinya tingkat izin yang diperlukan untuk menyelesaikan instalasi penambang.
Ketika sistem dikompromikan, operasi penambangan diam-diam mata uang kripto yang menghabiskan sumber daya CPU tanpa dapat dideteksi dengan mudah oleh pengguna. Server jarak jauh tersebut juga telah dipastikan menjadi tuan rumah direktori seperti “/npm/,” yang menimbulkan kecurigaan bahwa kampanye ini dapat meluas ke portal lain seperti NPM. Meskipun, sejauh ini, belum ada bukti konkret yang ditemukan pada platform itu.
Apa yang harus dilakukan jika Anda telah menginstal salah satu ekstensi ini
Jika Anda, atau seseorang di tim Anda, telah memasang salah satu ekstensi yang mencurigakan, Merupakan prioritas untuk menghilangkan mereka dari lingkungan kerja.. Sekadar menghapusnya dari editor tidaklah cukup, karena banyak tindakan yang dilakukan oleh skrip tersebut bersifat persisten dan tetap ada bahkan setelah ekstensi dihapus.
Cara terbaik adalah dengan mengikuti langkah-langkah berikut:
- Hapus tugas terjadwal secara manual sebagai “OnedriveStartup”.
- Hapus entri yang mencurigakan di Daftar Windows terkait dengan malware.
- Tinjau dan bersihkan direktori yang terpengaruh, terutama mereka yang ditambahkan ke daftar pengecualian.
- melakukan pemindaian penuh dengan alat antivirus yang diperbarui dan pertimbangkan untuk menggunakan solusi canggih yang mendeteksi perilaku anomali.
Dan yang terpenting, bertindak cepat: meskipun kerusakan utamanya adalah penggunaan sumber daya sistem yang tidak sah (konsumsi tinggi, lambat, terlalu panas, dll.), Tidak menutup kemungkinan bahwa penyerang mungkin telah membuka pintu belakang lainnya..
Episode ini menyoroti betapa mudahnya mengeksploitasi kepercayaan dalam lingkungan pengembangan, bahkan pada platform yang sudah mapan seperti VSCode Marketplace resmi. Oleh karena itu, pengguna disarankan untuk Periksa dengan cermat sumber ekstensi apa pun sebelum menginstalnya, prioritaskan paket yang memiliki basis pengguna terverifikasi dan hindari paket baru dari pengembang tidak dikenal. Maraknya kampanye jahat jenis ini menunjukkan kenyataan yang mengkhawatirkan: lingkungan pengembangan, yang sebelumnya dianggap aman secara default, Mereka juga bisa menjadi vektor serangan jika protokol validasi dan pemantauan yang kuat tidak diterapkan. Untuk saat ini, tanggung jawab berada di tangan penyedia platform dan pengembang itu sendiri, yang harus tetap waspada.
Saya seorang penggila teknologi yang telah mengubah minat "geek"-nya menjadi sebuah profesi. Saya telah menghabiskan lebih dari 10 tahun hidup saya menggunakan teknologi mutakhir dan mengutak-atik semua jenis program hanya karena rasa ingin tahu. Sekarang saya memiliki spesialisasi dalam teknologi komputer dan video game. Hal ini karena selama lebih dari 5 tahun saya telah menulis untuk berbagai website tentang teknologi dan video game, membuat artikel yang berupaya memberikan informasi yang Anda butuhkan dalam bahasa yang dapat dimengerti oleh semua orang.
Jika Anda memiliki pertanyaan, pengetahuan saya berkisar dari segala sesuatu yang berhubungan dengan sistem operasi Windows serta Android untuk ponsel. Dan komitmen saya adalah kepada Anda, saya selalu bersedia meluangkan beberapa menit dan membantu Anda menyelesaikan pertanyaan apa pun yang mungkin Anda miliki di dunia internet ini.