הרחבות זדוניות ב- VSCode: וקטור התקפה חדש להתקנת קריפטומינרים ב-Windows

העדכון אחרון: 08/04/2025
מחבר: אלברטו נבארו

  • 9 הרחבות זדוניות שהתגלו ב- VSCode Marketplace
  • התוכנה הזדונית מתקינה XMRig cryptominer שכורה ברקע.
  • ההרחבות נראו ככלי פיתוח לגיטימיים
  • מיקרוסופט עדיין לא הסירה את כל התוספים המזיקים

Visual Studio Code, או פשוט VSCode, הפך לאחד הכלים המועדפים על מתכנתים ברחבי העולם. הרבגוניות שלו והאפשרות להוסיף פונקציונליות באמצעות הרחבות הופכות אותו לאטרקטיבי במיוחד.. אבל דווקא הפתיחות הזו הפכה לשער לאיומי סייבר שמנצלים את אמון המשתמשים.

במהלך הימים האחרונים התגלו כמה דברים: תשעה הרחבות ב- VSCode Marketplace הרשמי שמסתירות קוד זדוני. אמנם נראה שהם כלי עזר לגיטימיים שמטרתם לשפר את חווית הפיתוח, במציאות הם מדביקים מערכות בתוכנת קריפטומין שנועדה לנצל בגניבה את משאבי המחשב.. גילוי זה עורר חששות בקרב קהילת המפתחים ומדגיש את הצורך בפיקוח קפדני יותר על סוגי פלטפורמות אלו.

תוספים שנפגעו ב- VSCode Marketplace

הרחבות vscode עם תוכנות זדוניות

התגלית נעשתה על ידי יובל רונן, חוקר בפלטפורמת ExtensionTotal, שזיהה כי שורה של הרחבות זמינות בפורטל מיקרוסופט עבור VSCode הם הפעילו קוד נסתר לאחר ההתקנה. קוד זה אפשר ביצוע של סקריפט PowerShell שהוריד והתקן ברקע את ה-XMRig cryptominer, המשמש בפעולות כריית מטבעות קריפטוגרפיים לא חוקיים כמו Monero ו-Ethereum.

ل החבילות המושפעות שוחררו ב-4 באפריל, 2025, וכבר היו זמינים להתקנה על ידי כל משתמש ללא כל הגבלה. ההרחבות הם הוצגו ככלים שימושיים, חלקם קשורים למהדרי שפות ואחרים לבינה מלאכותית או כלי עזר למפתחים.. להלן הרשימה המלאה של תוספים שדווחו:

  • Discord Rich Presence for VSCode - מאת Mark H
  • אדום – Roblox Studio Sync – מאת evaera
  • Solidity Compiler - מאת VSCode Developer
  • קלוד AI - מאת מארק ה
  • מהדר גולנג - מאת מארק ה
  • ChatGPT Agent for VSCode - מאת Mark H
  • HTML Obfuscator - מאת Mark H
  • Python Obfuscator - מאת מארק H
  • מהדר חלודה עבור VSCode - מאת Mark H
תוכן בלעדי - לחץ כאן  כיצד להגן על המחשב מפני איומים?

יש לציין שחלק מהרחבות אלו היו לו שיעורי פריקה גבוהים באופן מפתיע; לדוגמה, "Discord Rich Presence" הציג למעלה מ-189.000 התקנות, בעוד של-"Rojo - Roblox Studio Sync" היו כ-117.000. מומחי אבטחת סייבר רבים ציינו זאת ייתכן שהדמויות הללו נופחו באופן מלאכותי כדי ליצור מראה של פופולריות. ולמשוך יותר משתמשים תמימים.

נכון למועד הדיווחים הציבוריים, ההרחבות המשיכו להיות זמינות ב-Marketplace, מה שהוביל לביקורת על מיקרוסופט על היעדר תגובה מיידית להתראות אבטחה. העובדה שמדובר בהתקנות ממקור רשמי הופכת את הבעיה לעוד יותר עדינה.

כיצד פועלת המתקפה: טכניקות המשמשות תוספים זדוניים

סקריפט vscode זדוני

תהליך ההדבקה מתחיל מיד לאחר התקנת התוסף. בשלב זה, מבוצע סקריפט PowerShell המוורד מכתובת חיצונית: https://asdfqq(.)xyz. סקריפט זה אחראי לאחר מכן לביצוע מספר פעולות סמויות המאפשרות לכורה לקנן בתוך המחשב המושפע.

תוכן בלעדי - לחץ כאן  רשימת חסימות של מנהלי התקנים פגיעים של מיקרוסופט: מהי וכיצד להשתמש בה

אחד הדברים הראשונים שהתסריט עושה הוא התקן את התוסף האמיתי שהזדוני ניסה להתחזות. זה נועד למנוע חשד מצד המשתמש שעלול להבחין בהבדל כלשהו בפונקציונליות. בינתיים, הקוד ממשיך לרוץ ברקע כדי להשבית אמצעי הגנה ולסלול את הדרך לכורה הקריפטו לפעול ללא זיהוי.

בין הפעולות הבולטות ביותר של התסריט הן:

  • יצירת משימות מתוזמנות מחופש עם שמות לגיטימיים כמו "OnedriveStartup".
  • הכנסת פקודות זדוניות ל- רישום מערכת ההפעלה, מה שמבטיח את התמדה שלו לאורך אתחולים מחדש.
  • השבתת שירותי אבטחה בסיסיים, כולל Windows Update ו- Windows Medic.
  • הכללת ספריית הכורה ב- רשימת אי הכללות של Windows Defender.

יתר על כן, אם ההתקפה לא תצליח הרשאות מנהל בזמן ריצה, הוא משתמש בטכניקה המכונה "חטיפת DLL" באמצעות קובץ MLANG.dll מזויף. טקטיקה זו מאפשרת להפעיל קובץ בינארי זדוני על ידי חיקוי קובץ הפעלה לגיטימי של מערכת כגון ComputerDefaults.exe, מה שמעניק לו את רמת ההרשאה הדרושה להשלמת התקנת הכורה.

ברגע שהמערכת נפגעת, א פעולת כרייה שקטה של מטבעות קריפטוגרפיים שצורכים משאבי CPU מבלי שהמשתמש יזהה זאת בקלות. אושר כי השרת המרוחק מארח גם ספריות כגון "/npm/", מה שמעלה חשד כי מסע פרסום זה עשוי להתרחב לפורטלים אחרים כגון NPM. למרות שעד כה לא נמצאו ראיות קונקרטיות במצע זה.

מה לעשות אם התקנת אחת מההרחבות הללו

אם אתה, או מישהו בצוות שלך, התקנת כל אחד מהתוספים החשודים, יש עדיפות לסלק אותם מסביבת העבודה. פשוט הסרת ההתקנה שלהם מהעורך אינה מספיקה, שכן רבות מהפעולות שמבצע הסקריפט הן מתמידות ונשארות גם לאחר הסרת התוסף.

תוכן בלעדי - לחץ כאן  הסיכונים בלחיצה על 'ביטול הרשמה' במייל

עדיף לבצע את השלבים הבאים:

  • מחק ידנית משימות מתוזמנות בתור "OnedriveStartup".
  • מחק ערכים חשודים ב- הרישום של חלונות הקשורים לתוכנות זדוניות.
  • סקור ונקה את הספריות המושפעות, במיוחד אלה שנוספו לרשימת ההחרגות.
  • בצע א סריקה מלאה עם כלי אנטי וירוס מעודכנים ולשקול שימוש בפתרונות מתקדמים המזהים התנהגות חריגה.

ומעל לכל, פעלו מהר: למרות שהנזק העיקרי הוא שימוש לא מורשה במשאבי המערכת (צריכה גבוהה, איטיות, התחממות יתר וכו'), לא שולל שייתכן שהתוקפים פתחו דלתות אחוריות אחרות..

פרק זה הדגיש עד כמה קל לנצל אמון בסביבות פיתוח, אפילו בפלטפורמות שהוקמו כמו ה- VSCode Marketplace הרשמי. לכן, מומלץ למשתמשים לעשות זאת בדוק בזהירות את המקור של כל תוסף לפני התקנתו, תעדוף את אלה עם בסיס משתמשים מאומת והימנע מחבילות חדשות ממפתחים לא ידועים. התפשטותם של סוג זה של מסעות פרסום זדוניים ממחישה מציאות מדאיגה: סביבות פיתוח, שנחשבו בעבר מאובטחות כברירת מחדל, הם יכולים גם להפוך לוקטורי התקפה אם לא מיושמים פרוטוקולי אימות וניטור חזקים. לעת עתה, האחריות נופלת הן על ספקי הפלטפורמות והן על המפתחים עצמם, שחייבים להישאר ערניים.