Kenkėjiški plėtiniai VSCode: naujas atakos vektorius, skirtas įdiegti kriptominerus sistemoje Windows

Visual Studio Code, arba tiesiog VSCode, tapo vienu mėgstamiausių programuotojų įrankių visame pasaulyje. Jo universalumas ir galimybė pridėti funkcijų per plėtinius daro jį ypač patraukliu.. Tačiau būtent toks atvirumas tapo vartais kibernetinėms grėsmėms, kurios naudojasi vartotojų pasitikėjimu.

Per pastarąsias kelias dienas paaiškėjo kai kurie dalykai: Devyni plėtiniai oficialioje VSCode Marketplace, slepiantys kenkėjišką kodą. Nors atrodo, kad tai yra teisėtos komunalinės paslaugos, kuriomis siekiama pagerinti kūrimo patirtį, iš tikrųjų Jie užkrečia sistemas šifravimo programine įranga, skirta slaptai išnaudoti kompiuterio išteklius.. Šis atradimas sukėlė kūrėjų bendruomenės susirūpinimą ir pabrėžia poreikį griežtinti šių tipų platformų priežiūrą.

Pažeisti plėtiniai VSCode Marketplace

Atradimą padarė „ExtensionTotal“ platformos tyrėjas Yuvalis Ronenas, kuris aptiko, kad „Microsoft“ portale „VSCode“ yra daugybė plėtinių. Įdiegę jie suaktyvino paslėptą kodą. Šis kodas leido vykdyti PowerShell scenarijų, kuris atsisiuntė ir fone įdiegė XMRig kriptominerį, naudojamą nelegaliose kriptovaliutų gavybos operacijose, tokiose kaip Monero ir Ethereum.

The Paveikti paketai buvo išleisti 4 m. balandžio 2025 d, ir jas jau galėjo įdiegti bet kuris vartotojas be jokių apribojimų. Pratęsimai Jie buvo pateikti kaip naudingi įrankiai, kai kurie susiję su kalbų kompiliatoriais, o kiti – su dirbtiniu intelektu ar kūrėjų paslaugų programomis.. Toliau pateikiamas visas plėtinių, apie kuriuos pranešta, sąrašas:

• Discord Rich Presence for VSCode – Mark H
• Raudona – Roblox Studio Sync – evaera
• Solidity Compiler – sukūrė VSCode Developer
• Claude AI – Mark H
• „Golang“ sudarytojas – Mark H
• ChatGPT agentas, skirtas VSCode – Mark H
• HTML obfuscator – Mark H
• Python Obfuscator – Mark H
• Rust Compiler for VSCode – Mark H

Reikėtų pažymėti, kad kai kurie iš šių plėtinių turėjo stebėtinai aukštus iškrovimo rodiklius; Pavyzdžiui, „Discord Rich Presence“ buvo įdiegta daugiau nei 189.000 117.000, o „Rojo – Roblox Studio Sync“ – apie XNUMX XNUMX. Daugelis kibernetinio saugumo ekspertų atkreipė dėmesį į tai Šie skaičiai galėjo būti dirbtinai išpūsti, kad būtų sukurtas populiarumo vaizdas. ir pritraukti daugiau nieko neįtariančių vartotojų.

Viešųjų pranešimų metu Plėtiniai ir toliau buvo pasiekiami prekyvietėje, dėl ko „Microsoft“ buvo kritikuojama dėl to, kad ji nedelsdama reaguoja į saugos įspėjimus. Tai, kad tai buvo instaliacijos iš oficialaus šaltinio, daro problemą dar subtilesnę.

Kaip veikia ataka: kenkėjiškų plėtinių naudojami metodai

Infekcijos procesas prasideda iškart po to, kai įdiegiamas plėtinys. Tuo metu vykdomas PowerShell scenarijus, atsisiunčiamas iš išorinio adreso: https://asdfqq(.)xyz. Tada šis scenarijus yra atsakingas už kelių slaptų veiksmų, leidžiančių kalnakasiui įsiterpti į paveiktą kompiuterį, atlikimą.

Vienas iš pirmųjų dalykų, kuriuos daro scenarijus, yra įdiegti tikrąjį plėtinį, kuriuo bandė apsimesti kenkėjiškasis. Taip siekiama išvengti vartotojo, kuris gali pastebėti funkcinių skirtumų, įtarimų. Tuo tarpu kodas ir toliau veikia fone, kad išjungtų apsaugos priemones ir sudarytų sąlygas kriptovaliutų kasyklai veikti nepastebimai.

Tarp ryškiausių scenarijaus veiksmų yra šie:

• Suplanuotų užduočių kūrimas užmaskuoti teisėtais pavadinimais, pvz., „OnedriveStartup“.
• Kenkėjiškų komandų įterpimas į operacinės sistemos žurnalas, užtikrinant jos išlikimą perkraunant.
• Pagrindinių saugos paslaugų išjungimas, įskaitant „Windows Update“ ir „Windows Medic“.
• Miner's katalogo įtraukimas į „Windows Defender“ išimčių sąrašas.

Be to, jei ataka nepavyksta administratoriaus teisės Vykdymo metu ji naudoja techniką, vadinamą „DLL užgrobimu“ naudojant netikrą MLANG.dll failą. Ši taktika leidžia vykdyti kenkėjišką dvejetainį failą imituojant teisėtą sistemos vykdomąjį failą, pvz., ComputerDefaults.exe, suteikiant jai reikiamą leidimo lygį, kad būtų galima užbaigti miner diegimą.

Kai sistema yra pažeista, a tyli kasybos operacija kriptovaliutų, kurios sunaudoja procesoriaus išteklius, vartotojui to lengvai neaptinkant. Patvirtinta, kad nuotolinis serveris taip pat talpina tokius katalogus kaip „/npm/“, todėl kyla įtarimų, kad ši kampanija gali būti išplėsta į kitus portalus, tokius kaip NPM. Nors kol kas konkrečių įrodymų šioje platformoje nerasta.

Ką daryti, jei įdiegėte kurį nors iš šių plėtinių

Jei jūs arba jūsų komandos narys įdiegėte bet kurį iš įtartinų plėtinių, Pirmenybė teikiama jų pašalinimui iš darbo aplinkos. Nepakanka tik juos pašalinti iš redaktoriaus, nes daugelis scenarijaus atliekamų veiksmų yra nuolatiniai ir išlieka net pašalinus plėtinį.

Geriausia atlikti šiuos veiksmus:

• Rankiniu būdu ištrinkite suplanuotas užduotis kaip „OnedriveStartup“.
• Ištrinkite įtartinus įrašus „Windows“ registras susijusi su kenkėjiška programa.
• Peržiūrėkite ir išvalykite paveiktus katalogus, ypač įtrauktus į pašalinimų sąrašą.
• Atlikite pilnas nuskaitymas naudojant atnaujintus antivirusinius įrankius ir apsvarstykite galimybę naudoti pažangius sprendimus, kurie aptinka nenormalų elgesį.

Ir, svarbiausia, veikite greitai: nors pagrindinė žala yra neteisėtas sistemos išteklių naudojimas (didelis suvartojimas, lėtumas, perkaitimas ir kt.), Neatmetama galimybė, kad užpuolikai galėjo atidaryti ir kitas užpakalines duris..

Šis epizodas atskleidė, kaip lengva išnaudoti pasitikėjimą kūrimo aplinkose, net ir tokiose platformose kaip oficiali VSCode Marketplace. Todėl vartotojams patariama Prieš diegdami bet kokį plėtinį, atidžiai patikrinkite jo šaltinį, pirmenybę teikite tiems, kurie turi patvirtintą vartotojų bazę, ir venkite naujų paketų iš nežinomų kūrėjų. Tokio tipo kenkėjiškų kampanijų paplitimas rodo nerimą keliančią realybę: kūrimo aplinka, anksčiau pagal numatytuosius nustatymus laikyta saugia, Jie taip pat gali tapti atakos vektoriais jei netaikomi tvirti patvirtinimo ir stebėjimo protokolai. Kol kas atsakomybė tenka ir platformos tiekėjams, ir patiems kūrėjams, kurie turi išlikti budrūs.