Illgjarnar viðbætur í VSCode: Nýr árásarvektor til að setja upp dulritunarvélar á Windows

Síðasta uppfærsla: 08/04/2025
Höfundur: Alberto navarro

  • 9 skaðlegar viðbætur fundust á VSCode Marketplace
  • Spilliforritið setur upp XMRig cryptominer sem anna í bakgrunni.
  • Viðbæturnar virtust vera lögmæt þróunarverkfæri
  • Microsoft hefur ekki enn fjarlægt allar skaðlegar viðbætur

Visual Studio Code, eða einfaldlega VSCode, er orðið eitt af uppáhalds verkfærunum fyrir forritara um allan heim. Fjölhæfni þess og möguleikinn á að bæta við virkni í gegnum viðbætur gera það sérstaklega aðlaðandi.. En einmitt þessi hreinskilni er orðin gátt fyrir netógnir sem nýta sér traust notenda.

Undanfarna daga hefur ýmislegt komið í ljós: Níu viðbætur á opinbera VSCode Marketplace sem fela skaðlegan kóða. Þó að þau virðast vera lögmæt tól sem miða að því að bæta þróunarupplifunina, í raun og veru Þeir smita kerfi með dulritunarhugbúnaði sem er hannaður til að nýta auðlindir tölvunnar á laumu.. Þessi uppgötvun hefur vakið áhyggjur meðal þróunarsamfélagsins og undirstrikar þörfina fyrir strangara eftirlit með þessum tegundum palla.

Viðbætur í hættu á VSCode Marketplace

vscode viðbætur með spilliforritum

Uppgötvunin var gerð af Yuval Ronen, rannsakanda á ExtensionTotal vettvangnum, sem uppgötvaði að röð af viðbótum tiltækar á Microsoft vefsíðunni fyrir VSCode Þeir virkjaðu falinn kóða eftir að hafa verið settur upp. Þessi kóði leyfði framkvæmd PowerShell handrits sem hlaðið niður og setti upp XMRig cryptominer í bakgrunni, sem notaður var í ólöglegum námuvinnslu cryptocurrency eins og Monero og Ethereum.

Los Pakkarnir sem urðu fyrir áhrifum voru gefnir út 4. apríl 2025, og voru þegar í boði til að setja upp af hvaða notanda sem er án nokkurra takmarkana. Framlengingarnar Þau voru sett fram sem gagnleg verkfæri, sum tengd tungumálaþýðendum og önnur gervigreind eða þróunartólum.. Hér að neðan er listi yfir tilkynntar framlengingar:

  • Discord Rich Presence fyrir VSCode - eftir Mark H
  • Red – Roblox Studio Sync – eftir evaera
  • Solidity þýðandi - eftir VSCode Developer
  • Claude AI - eftir Mark H
  • Golang þýðandi - eftir Mark H
  • ChatGPT umboðsmaður fyrir VSCode - eftir Mark H
  • HTML Obfuscator - eftir Mark H
  • Python Obfuscator - eftir Mark H
  • Ryðþýðandi fyrir VSCode - eftir Mark H
Einkarétt efni - Smelltu hér  Pixnapping: Laumuspil sem fangar það sem þú sérð á Android

Það skal tekið fram að sumar þessara framlenginga var með furðu háa losunarhraða; Til dæmis sýndi „Discord Rich Presence“ yfir 189.000 uppsetningar, en „Rojo – Roblox Studio Sync“ var með um 117.000. Margir netöryggissérfræðingar hafa bent á það Þessar tölur gætu hafa verið blásnar upp tilbúnar til að skapa útlit vinsælda. og laða að fleiri grunlausa notendur.

Frá og með tíma opinberra skýrslna, Viðbæturnar voru áfram fáanlegar á Markaðstorginu, sem leiddi til gagnrýni á Microsoft fyrir skort á tafarlausum viðbrögðum við öryggisviðvörunum. Sú staðreynd að þetta voru uppsetningar frá opinberum aðilum gerir vandamálið enn viðkvæmara.

Hvernig árásin virkar: aðferðir sem notaðar eru af skaðlegum viðbótum

illgjarn vscode forskrift

Sýkingarferlið hefst strax eftir að viðbótin er sett upp. Á þeim tímapunkti er PowerShell skriftu keyrt sem er hlaðið niður af utanaðkomandi heimilisfangi: https://asdfqq(.)xyz. Þetta handrit er síðan ábyrgt fyrir því að framkvæma nokkrar leynilegar aðgerðir sem gera námumanninum kleift að hreiðra um sig í viðkomandi tölvu.

Einkarétt efni - Smelltu hér  Virkja uppgötvun PUP / LPI í Avast! og AVG

Eitt af því fyrsta sem handritið gerir er settu upp raunverulegu viðbótina sem illgjarn var að reyna að líkja eftir. Þetta er ætlað að forðast tortryggni hjá notandanum sem gæti tekið eftir mismun á virkni. Á sama tíma heldur kóðinn áfram að keyra í bakgrunni til að slökkva á verndarráðstöfunum og ryðja brautina fyrir dulmálsnámumanninn til að starfa óséður.

Meðal athyglisverðustu aðgerða handritsins eru:

  • Að búa til tímasett verkefni dulbúnir með lögmætum nöfnum eins og „OnedriveStartup“.
  • Innsetning illgjarnra skipana í stýrikerfisskrá, sem tryggir þrautseigju þess yfir endurræsingar.
  • Slökkt á grunnöryggisþjónustu, þar á meðal Windows Update og Windows Medic.
  • Skráning námuverkamannsins er tekin inn í Útilokunarlisti Windows Defender.

Ennfremur, ef árásin tekst ekki stjórnandi forréttindi Á keyrslutíma notar það tækni sem kallast „DLL ræning“ í gegnum falsa MLANG.dll skrá. Þessi aðferð gerir kleift að keyra illgjarn tvöfaldur með því að líkja eftir lögmætum keyrslu kerfis eins og ComputerDefaults.exe, sem veitir því nauðsynlega leyfisstig til að ljúka uppsetningu námuvinnslunnar.

Þegar kerfið hefur verið í hættu, a hljóðlaus námurekstur af dulritunargjaldmiðlum sem neyta CPU auðlinda án þess að notandinn greini það auðveldlega. Það hefur verið staðfest að ytri þjónninn hýsir einnig möppur eins og „/npm/,“ sem vekur grunsemdir um að þessi herferð gæti verið að stækka til annarra gátta eins og NPM. Þó að hingað til hafi engar áþreifanlegar sannanir fundist á þeim vettvangi.

Hvað á að gera ef þú hefur sett upp einhverjar af þessum viðbótum

Ef þú, eða einhver í teyminu þínu, hefur sett upp einhverja af grunsamlegu viðbótunum, Það er forgangsverkefni að útrýma þeim úr vinnuumhverfinu. Það er ekki nóg að fjarlægja þær einfaldlega úr ritlinum, þar sem margar aðgerðir sem handritið framkvæmir eru viðvarandi og haldast jafnvel eftir að viðbótin er fjarlægð.

Einkarétt efni - Smelltu hér  Hvernig á að kemba hrjótaspor?

Best er að fylgja þessum skrefum:

  • Eyða áætluðum verkefnum handvirkt sem „OnedriveStartup“.
  • Eyða grunsamlegum færslum í Windows skrá tengt spilliforriti.
  • Skoðaðu og hreinsaðu viðkomandi möppur, sérstaklega þau sem bætt er við útilokunarlistann.
  • Framkvæma a full skönnun með uppfærðum vírusvarnarverkfærum og íhugaðu að nota háþróaðar lausnir sem greina afbrigðilega hegðun.

Og umfram allt, bregðast fljótt við: þó að aðaltjónið sé óleyfileg notkun kerfisauðlinda (mikil neysla, hægur, ofhitnun osfrv.), Ekki er útilokað að árásarmennirnir hafi opnað aðrar bakdyr..

Þessi þáttur hefur undirstrikað hversu auðvelt það er að nýta traust í þróunarumhverfi, jafnvel á kerfum sem eru eins staðfestir og opinberi VSCode Marketplace. Þess vegna er notendum bent á að Athugaðu vandlega uppruna hvaða viðbót sem er áður en þú setur hana upp, forgangsraðaðu þeim sem eru með staðfestan notendahóp og forðastu nýja pakka frá óþekktum forriturum. Útbreiðsla þessarar tegundar illgjarnra herferða sýnir áhyggjufullan veruleika: þróunarumhverfi, sem áður var talið öruggt sjálfgefið, Þeir geta líka orðið árásarvektorar ef traustar löggildingar- og vöktunarreglur eru ekki notaðar. Í bili fellur ábyrgðin á bæði vettvangsveitendur og þróunaraðila sjálfa, sem verða að vera vakandi.