Oqgħod attent minn dawn l-estensjonijiet malizzjużi f'VSCode

9 estensjonijiet malizzjużi skoperti fis-Suq tal-VSCode
Il-malware jinstalla cryptominer XMRig li jħaffef fl-isfond.
L-estensjonijiet dehru li kienu għodod ta' żvilupp leġittimi
Microsoft għadha ma neħħietx l-estensjonijiet ta 'ħsara kollha

Visual Studio Code, jew sempliċement VSCode, saret waħda mill-għodod favoriti għall-programmaturi madwar id-dinja. Il-versatilità tagħha u l-possibbiltà li żżid funzjonalitajiet permezz ta 'estensjonijiet jagħmluha attraenti b'mod speċjali.. Iżda proprju dan il-ftuħ sar bieb għat-theddid ċibernetiku li qed jieħu vantaġġ mill-fiduċja tal-utenti.

Matul l-aħħar jiem, ħarġu fid-dawl xi affarijiet: Disa' estensjonijiet fis-Suq uffiċjali tal-VSCode li jaħbu kodiċi malizzjuż. Filwaqt li jidhru li huma utilitajiet leġittimi mmirati lejn it-titjib tal-esperjenza tal-iżvilupp, fir-realtà Huma jinfettaw is-sistemi b'softwer tal-kriptomining iddisinjat biex jisfrutta b'mod stealthily ir-riżorsi tal-kompjuter.. Din l-iskoperta qajmet tħassib fost il-komunità tal-iżviluppaturi u tenfasizza l-ħtieġa għal sorveljanza aktar stretta ta 'dawn it-tipi ta' pjattaformi.

Estensjonijiet kompromessi fis-Suq tal-VSCode

L-iskoperta saret minn Yuval Ronen, riċerkatur fil-pjattaforma ExtensionTotal, li skopra li serje ta 'estensjonijiet disponibbli fuq il-portal ta' Microsoft għal VSCode Huma attivaw kodiċi moħbi wara li ġew installati. Dan il-kodiċi ppermetta l-eżekuzzjoni ta 'skript PowerShell li niżżel u installat fl-isfond il-cryptominer XMRig, użat f'operazzjonijiet illegali tal-minjieri tal-kripto-munita bħal Monero u Ethereum.

Il- Il-pakketti affettwati ġew rilaxxati fl-4 ta’ April, 2025, u kienu diġà disponibbli biex jiġu installati minn kwalunkwe utent mingħajr ebda restrizzjoni. L-estensjonijiet Ġew ippreżentati bħala għodod utli, xi wħud relatati mal-kompilaturi tal-lingwa u oħrajn mal-intelliġenza artifiċjali jew l-utilitajiet tal-iżviluppatur.. Hawn taħt hawn il-lista sħiħa tal-estensjonijiet irrappurtati:

Discord Rich Presence għal VSCode - minn Mark H
Aħmar – Roblox Studio Sync – minn evaera
Kompilatur tas-Solidità - mill-Iżviluppatur VSCode
Claude AI – minn Mark H
Il-Kompilatur Golang - minn Mark H
ChatGPT Agent għal VSCode - minn Mark H
HTML Obfuscator - minn Mark H
Python Obfuscator - minn Mark H
Rust Compiler għal VSCode - minn Mark H

Kontenut esklussiv - Ikklikkja Hawnhekk Kif taqsam il-passwords f'Google Chrome b'mod sigur

Għandu jiġi nnutat li xi wħud minn dawn l-estensjonijiet kellha rati ta’ skariku sorprendentement għoljin; Pereżempju, "Discord Rich Presence" wriet aktar minn 189.000 installazzjoni, filwaqt li "Rojo - Roblox Studio Sync" kellha madwar 117.000. Ħafna esperti taċ-ċibersigurtà rrimarkaw dan Dawn iċ-ċifri setgħu ġew minfuħa artifiċjalment biex joħolqu dehra ta 'popolarità. u jattiraw aktar utenti li ma jissuspettawx.

Saż-żmien tar-rapporti pubbliċi, L-estensjonijiet komplew ikunu disponibbli fis-Suq, li wasslet għall-kritika tal-Microsoft għan-nuqqas tagħha ta’ rispons immedjat għat-twissijiet tas-sigurtà. Il-fatt li dawn kienu installazzjonijiet minn sors uffiċjali jagħmel il-problema saħansitra aktar delikata.

Kif jaħdem l-attakk: tekniki użati minn estensjonijiet malizzjużi

Il-proċess ta 'infezzjoni jibda immedjatament wara li l-estensjoni tkun installata. F'dak il-punt, jiġi esegwit script PowerShell li jitniżżel minn indirizz estern: https://asdfqq(.)xyz. Dan l-iskritt huwa mbagħad responsabbli biex iwettaq diversi azzjonijiet moħbija li jippermettu lill-minatur ibejta fil-kompjuter affettwat.

Kontenut esklussiv - Ikklikkja Hawnhekk Is-sistema tal-ipproċessar tat-talbiet ta' Avira għall-Mac hija sigura?

Waħda mill-ewwel affarijiet li tagħmel l-iskrittura hija tinstalla l-estensjoni reali li dak malizzjuż kien qed jipprova jippersona ruħu. Dan huwa maħsub biex jevita suspett min-naħa tal-utent li jista 'jinnota xi differenza fil-funzjonalità. Sadanittant, il-kodiċi jkompli jaħdem fl-isfond biex jiskonnettja l-miżuri ta 'protezzjoni u jwitti t-triq biex il-minatur tal-kripto jopera mingħajr ma jinstab.

Fost l-aktar azzjonijiet notevoli tal-iskrittura hemm:

Ħolqien ta 'kompiti skedati moħbija b'ismijiet leġittimi bħal "OnedriveStartup".
Inserzjoni ta 'kmandi malizzjużi fil- reġistru tas-sistema operattiva, li tiżgura l-persistenza tagħha matul reboots.
Deattivazzjoni ta' servizzi bażiċi ta' sigurtà, inklużi Windows Update u Windows Medic.
L-inklużjoni tad-direttorju tal-minatur fil- Lista ta' esklużjoni tal-Windows Defender.

Barra minn hekk, jekk l-attakk jonqos milli jirnexxi privileġġi ta' amministratur Fil-ħin tar-runtime, timpjega teknika magħrufa bħala "ħtif tad-DLL" permezz ta 'fajl MLANG.dll falz. Din it-tattika tippermetti li tiġi esegwita binarja malizzjuża billi timita sistema leġittima eżekutibbli bħal ComputerDefaults.exe, u tagħtiha l-livell ta 'permess meħtieġ biex tlesti l-installazzjoni tal-minatur.

Ladarba s-sistema tkun kompromessa, a operazzjoni tal-minjieri siekta ta 'kripto-muniti li jikkunsmaw riżorsi tas-CPU mingħajr ma l-utent jiskoprih faċilment. Is-server remot ġie kkonfermat ukoll li jospita direttorji bħal "/npm/", u qajjem suspetti li din il-kampanja tista 'tkun qed tespandi għal portali oħra bħal NPM. Għalkemm, s'issa, ma nstabet l-ebda evidenza konkreta fuq dik il-pjattaforma.

X'għandek tagħmel jekk installajt xi waħda minn dawn l-estensjonijiet

Jekk int, jew xi ħadd fit-tim tiegħek, installajt xi waħda mill-estensjonijiet suspettużi, Hija prijorità li jiġu eliminati mill-ambjent tax-xogħol. Sempliċement iddiżinstallahom mill-editur mhix biżżejjed, peress li ħafna mill-azzjonijiet imwettqa mill-iskrittura huma persistenti u jibqgħu anke wara li tneħħi l-estensjoni.

Kontenut esklussiv - Ikklikkja Hawnhekk X'inhi l-modalità kunfidenzjali tal-Gmail u meta għandek tixgħelha?

L-aħjar huwa li ssegwi dawn il-passi:

Ħassar manwalment il-kompiti skedati bħala “OnedriveStartup”.
Ħassar entrati suspettużi fil- Reġistru tal-Windows relatati mal-malware.
Irrevedi u naddaf id-direttorji affettwati, speċjalment dawk miżjuda mal-lista ta' esklużjoni.
Agħmel skan sħiħ b'għodod antivirus aġġornati u tikkunsidra li tuża soluzzjonijiet avvanzati li jiskopru imġieba anomala.

U fuq kollox, aġixxi malajr: għalkemm il-ħsara ewlenija hija l-użu mhux awtorizzat tar-riżorsi tas-sistema (konsum għoli, bil-mod, sħana żejda, eċċ.), Mhux eskluż li l-attakkanti setgħu fetħu bibien oħra ta’ wara..

Dan l-episodju enfasizza kemm huwa faċli li tisfrutta l-fiduċja f'ambjenti ta 'żvilupp, anke fuq pjattaformi kif stabbilit bħala l-VSCode Marketplace uffiċjali. Għalhekk, l-utenti huma avżati li Iċċekkja bir-reqqa s-sors ta 'kwalunkwe estensjoni qabel tinstallaha, tagħti prijorità lil dawk b'bażi ta' utenti vverifikata u tevita pakketti ġodda minn żviluppaturi mhux magħrufa. Il-proliferazzjoni ta’ dan it-tip ta’ kampanji malizzjużi turi realtà inkwetanti: ambjenti ta’ żvilupp, li qabel kienu kkunsidrati siguri b’mod awtomatiku, Jistgħu wkoll isiru vettori ta 'attakk jekk ma jiġux applikati protokolli robusti ta' validazzjoni u monitoraġġ. Għalissa, ir-responsabbiltà taqa 'fuq kemm il-fornituri tal-pjattaformi kif ukoll l-iżviluppaturi nfushom, li għandhom jibqgħu viġilanti.

Alberto Navarro

Jien dilettant tat-teknoloġija li bidlet l-interessi "geek" tiegħu fi professjoni. Għamilt aktar minn 10 snin minn ħajti nuża teknoloġija avvanzata u nagħmel tbagħbis ma’ kull tip ta’ programmi għal kurżità pura. Issa speċjajtejt fit-teknoloġija tal-kompjuter u l-logħob tal-kompjuter. Dan għaliex ilni aktar minn 5 snin naħdem nikteb għal diversi websajts dwar teknoloġija u video games, noħloq artikli li jfittxu li jagħtuk l-informazzjoni li għandek bżonn b’lingwa li tinftiehem minn kulħadd.

Jekk għandek xi mistoqsijiet, l-għarfien tiegħi jvarja minn dak kollu relatat mas-sistema operattiva Windows kif ukoll Android għat-telefowns ċellulari. U l-impenn tiegħi huwa għalik, jien dejjem lest li nqatta' ftit minuti u ngħinek issolvi kwalunkwe mistoqsija li jista' jkollok f'din id-dinja tal-internet.