- 9 béiswëlleg Extensiounen entdeckt am VSCode Maartplaz
- De Malware installéiert en XMRig Kryptominer deen am Hannergrond minéiert.
- D'Extensiounen schéngen als legitim Entwécklungsinstrumenter ze sinn
- Microsoft huet nach net all schiedlech Extensiounen ewechgeholl
Visual Studio Code, oder einfach VSCode, ass ee vun de Liiblingsinstrumenter fir Programméierer ronderëm d'Welt ginn. Seng Villsäitegkeet an d'Méiglechkeet fir Funktionalitéiten duerch Extensiounen ze addéieren maachen et besonnesch attraktiv.. Awer genee dës Offenheet ass e Paart ginn fir Cyber Bedrohungen déi vum Benotzer Vertrauen profitéieren.
An de leschten Deeg sinn e puer Saachen an d'Liicht komm: Néng Extensiounen op der offizieller VSCode Maartplaz déi béiswëlleg Code verstoppen. Wärend se schéngen legitim Utilities ze sinn, fir d'Entwécklungserfarung ze verbesseren, a Wierklechkeet Si infizéieren Systemer mat Kryptominéierungssoftware entwéckelt fir d'Ressourcen vum Computer stealthily auszenotzen.. Dës Entdeckung huet Bedenken ënner der Entwécklergemeinschaft opgeworf an ënnersträicht d'Noutwendegkeet fir méi streng Iwwerwaachung vun dësen Aarte vu Plattformen.
Kompromësséiert Extensiounen am VSCode Maartplaz
D'Entdeckung gouf vum Yuval Ronen, e Fuerscher vun der ExtensionTotal Plattform gemaach, deen festgestallt huet datt eng Serie vun Extensiounen um Microsoft Portal fir VSCode verfügbar sinn. Si hunn e verstoppte Code aktivéiert nodeems se installéiert goufen. Dëse Code erlaabt d'Ausféierung vun engem PowerShell Skript deen den XMRig Kryptominer erofgelueden an am Hannergrond installéiert huet, an illegalen cryptocurrency Mining Operatiounen wéi Monero an Ethereum benotzt.
der Betraff Pakete goufen de 4. Abrëll 2025 verëffentlecht, a ware scho verfügbar fir vun all Benotzer ouni Restriktiounen installéiert ze ginn. D'Verlängerungen Si goufen als nëtzlech Tools presentéiert, e puer am Zesummenhang mat Sproochkompileren an anerer mat kënschtlecher Intelligenz oder Entwéckler Utilities.. Drënner ass déi komplett Lëscht vu gemellten Extensiounen:
- Discord Rich Präsenz fir VSCode - vum Mark H
- Red - Roblox Studio Sync - vun evaera
- Solidity Compiler - vum VSCode Entwéckler
- Claude AI - vum Mark H
- Golang Compiler - vum Mark H
- ChatGPT Agent fir VSCode - vum Mark H
- HTML Obfuscator - vum Mark H
- Python Obfuscator - vum Mark H
- Rust Compiler fir VSCode - vum Mark H
Et sollt bemierkt datt e puer vun dësen Extensiounen hat iwwerraschend héich Entladungsraten; Zum Beispill, "Discord Rich Presence" huet iwwer 189.000 Installatiounen gewisen, während "Rojo - Roblox Studio Sync" ongeféier 117.000 hat. Vill Cybersecurity Experten hunn dat drop higewisen Dës Figuren hu vläicht kënschtlech opgeblosen fir en Erscheinungsbild vu Popularitéit ze kreéieren. a méi unsuspecting Benotzer unzezéien.
Wéi vun der Zäit vun ëffentleche Berichter, D'Extensiounen ware weider um Maartplaz verfügbar, wat zu der Kritik vu Microsoft gefouert huet fir säi Mangel un direkter Äntwert op Sécherheetsalarmer. D'Tatsaach, datt dëst Installatiounen aus enger offizieller Quell waren, mécht de Problem nach méi delikat.
Wéi den Attack funktionnéiert: Technike benotzt vu béiswëlleg Extensiounen
Den Infektiounsprozess fänkt direkt un nodeems d'Extensioun installéiert ass. Zu deem Zäitpunkt gëtt e PowerShell Skript ausgefouert dat vun enger externer Adress erofgeluede gëtt: https://asdfqq(.)xyz. Dëse Skript ass dann verantwortlech fir verschidde geheime Aktiounen auszeféieren, déi de Miner erlaben am betraffene Computer ze nestéieren.
Ee vun den éischte Saachen de Skript mécht ass installéieren déi richteg Extensioun, déi de béisaarteg probéiert huet ze imitéieren. Dëst ass geduecht fir Verdacht vum Benotzer ze vermeiden, deen en Ënnerscheed an der Funktionalitéit bemierkt. Mëttlerweil leeft de Code weider am Hannergrond fir Schutzmoossnamen auszeschalten an de Wee fir de Krypto-Miner ondetektéiert ze bedreiwen.
Ënnert de bemierkenswäertsten Aktiounen vum Skript sinn:
- Geplangte Aufgaben erstellen verkleed mat legitimen Nimm wéi "OnedriveStartup".
- Aféierung vun béiswëlleg Kommandoen an der Betribssystem Registry, fir seng Persistenz iwwer Neistarten ze garantéieren.
- Deaktivéierung vun Basis Sécherheet Servicer, dorënner Windows Update a Windows Medic.
- Inklusioun vum Miner Verzeechnes an der Windows Defender Ausgrenzungslëscht.
Ausserdeem, wann d'Attack net geléngt Administrator Privilegien Beim Runtime benotzt et eng Technik bekannt als "DLL hijacking" iwwer eng gefälschte MLANG.dll Datei. Dës Taktik erlaabt e béiswëlleg Binär auszeféieren andeems en e legitime System ausführbar wéi ComputerDefaults.exe mimikéiert, sou datt et déi néideg Erlaabnesniveau gëtt fir d'Minerinstallatioun ofzeschléissen.
Wann de System kompromittéiert ass, a roueg Biergbau Operatioun vu Krypto-Währungen déi CPU-Ressourcen verbrauchen ouni datt de Benotzer et einfach erkennt. De Remote Server gouf och bestätegt fir Verzeichnisser wéi "/ npm/" ze hosten, wat d'Verdacht ophëlt datt dës Kampagne op aner Portale wéi NPM erweidert kéint. Obwuel bis elo keng konkret Beweiser op där Plattform fonnt goufen.
Wat maache wann Dir eng vun dësen Extensiounen installéiert hutt
Wann Dir, oder een aus Ärem Team, eng vun de verdächtegen Extensiounen installéiert hutt, Et ass eng Prioritéit fir se aus der Aarbechtsëmfeld ze eliminéieren. Einfach se aus dem Editor ze deinstalléieren ass net genuch, well vill vun den Aktiounen, déi vum Skript gemaach ginn, persistent sinn a bleiwen och nodeems d'Extensioun ewechgeholl gëtt.
Et ass am beschten dës Schrëtt ze verfollegen:
- Geplangte Aufgaben manuell läschen als "OnedriveStartup".
- Läschen verdächteg Entréen an der Windows Enregistréiere Zesummenhang mat Malware.
- Iwwerpréift a botzt déi betraffe Verzeichnisser, besonnesch déi op d'Ausgrenzungslëscht bäigefüügt.
- Maacht e Voll Scan mat aktualiséierten Antivirus Tools a betruecht d'Benotzung vu fortgeschratt Léisungen déi anomalescht Verhalen erkennen.
A virun allem, handelt séier: obwuel den Haaptschued déi onerlaabt Notzung vu Systemressourcen ass (héigen Verbrauch, Langsamkeet, Iwwerhëtzung, asw.), Et ass net ausgeschloss, datt d'Attentäter aner Hannerdieren opgemaach hunn..
Dësen Episod huet beliicht wéi einfach et ass Vertrauen an Entwécklungsëmfeld auszenotzen, och op Plattformen sou wéi déi offiziell VSCode Maartplaz etabléiert. Dofir sinn d'Benotzer ugeroden Préift virsiichteg d'Quell vun all Extensioun ier Dir se installéiert, Prioritéit déi mat enger verifizéierter Benotzerbasis a vermeiden nei Packagen vun onbekannten Entwéckler. D'Verbreedung vun dëser Aart vu béiswëlleg Kampagnen weist eng beonrouegend Realitéit: Entwécklungsëmfeld, virdru als Standard als sécher ugesinn, Si kënnen och Attacke Vektoren ginn wann robust Validatioun an Iwwerwaachungsprotokoller net applizéiert ginn. Fir de Moment fällt d'Verantwortung souwuel op Plattform Ubidder wéi op Entwéckler selwer, déi oppassen musse bleiwen.
Ech sinn en Technologie-Enthusiast, deen seng "Geek" Interesse an e Beruff ëmgewandelt huet. Ech hu méi wéi 10 Joer vu mengem Liewen verbruecht mat modernste Technologie a mat all Zorte vu Programmer aus purer Virwëtzegkeet ze manipuléieren. Elo hunn ech op Computertechnologie a Videospiller spezialiséiert. Dëst ass well ech zënter méi wéi 5 Joer fir verschidde Websäiten iwwer Technologie a Videospiller geschriwwen hunn, Artikelen erstallt déi probéieren Iech d'Informatioun ze ginn déi Dir braucht an enger Sprooch déi jidderee verständlech ass.
Wann Dir Froen hutt, da läit mäi Wëssen vun allem wat mam Windows Betriebssystem verbonnen ass, souwéi Android fir Handyen. A mäi Engagement ass fir Iech, ech sinn ëmmer bereet e puer Minutten ze verbréngen an Iech ze hëllefen all Froen ze léisen déi Dir an dëser Internetwelt hutt.