- 9 ondsinnede utvidelser oppdaget i VSCode Marketplace
- Skadevaren installerer en XMRig kryptominer som miner i bakgrunnen.
- Utvidelsene så ut til å være legitime utviklingsverktøy
- Microsoft har ennå ikke fjernet alle skadelige utvidelser
Visual Studio Code, eller ganske enkelt VSCode, har blitt et av favorittverktøyene for programmerere over hele verden. Dens allsidighet og muligheten for å legge til funksjonalitet gjennom utvidelser gjør den spesielt attraktiv.. Men nettopp denne åpenheten har blitt en inngangsport for cybertrusler som utnytter brukernes tillit.
I løpet av de siste dagene har det kommet frem noen ting: Ni utvidelser i den offisielle VSCode Marketplace som skjuler ondsinnet kode. Mens de ser ut til å være legitime verktøy som tar sikte på å forbedre utviklingsopplevelsen, i virkeligheten De infiserer systemer med kryptomineringsprogramvare designet for å snikelig utnytte datamaskinens ressurser.. Denne oppdagelsen har skapt bekymringer blant utviklermiljøet og fremhever behovet for strengere tilsyn med denne typen plattformer.
Kompromitterte utvidelser i VSCode Marketplace
Oppdagelsen ble gjort av Yuval Ronen, en forsker ved ExtensionTotal-plattformen, som oppdaget at en rekke utvidelser tilgjengelig på Microsoft-portalen for VSCode De aktiverte en skjult kode etter å ha blitt installert. Denne koden tillot utførelse av et PowerShell-skript som lastet ned og installerte XMRig-kryptomineren i bakgrunnen, brukt i ulovlige gruveoperasjoner for kryptovaluta som Monero og Ethereum.
De Berørte pakker ble utgitt 4. april 2025, og var allerede tilgjengelig for å bli installert av enhver bruker uten noen begrensninger. Utvidelsene De ble presentert som nyttige verktøy, noen relatert til språkkompilatorer og andre til kunstig intelligens eller utviklerverktøy.. Nedenfor er den fullstendige listen over rapporterte utvidelser:
- Discord Rich Presence for VSCode – av Mark H
- Red – Roblox Studio Sync – av evaera
- Solidity Compiler – av VSCode Developer
- Claude AI - av Mark H
- Golang Compiler - av Mark H
- ChatGPT Agent for VSCode – av Mark H
- HTML Obfuscator - av Mark H
- Python Obfuscator - av Mark H
- Rust Compiler for VSCode - av Mark H
Det skal bemerkes at noen av disse utvidelsene hadde overraskende høye utslippsrater; For eksempel viste «Discord Rich Presence» over 189.000 117.000 installasjoner, mens «Rojo – Roblox Studio Sync» hadde rundt XNUMX XNUMX. Mange nettsikkerhetseksperter har påpekt det Disse figurene kan ha blitt kunstig oppblåst for å skape et utseende av popularitet. og tiltrekke flere intetanende brukere.
Fra tidspunktet for offentlige rapporter, Utvidelsene fortsatte å være tilgjengelige på Marketplace, noe som førte til kritikk av Microsoft for manglende umiddelbar respons på sikkerhetsvarsler. Det faktum at dette var installasjoner fra en offisiell kilde gjør problemet enda mer delikat.
Hvordan angrepet fungerer: teknikker som brukes av ondsinnede utvidelser
Infeksjonsprosessen starter umiddelbart etter at utvidelsen er installert. På det tidspunktet kjøres et PowerShell-skript som lastes ned fra en ekstern adresse: https://asdfqq(.)xyz. Dette skriptet er da ansvarlig for å utføre flere skjulte handlinger som lar gruvearbeideren hekke i den berørte datamaskinen.
Noe av det første manuset gjør er installer den virkelige utvidelsen som den ondsinnede prøvde å etterligne. Dette er ment for å unngå mistanke fra brukeren som kan merke forskjeller i funksjonalitet. I mellomtiden fortsetter koden å kjøre i bakgrunnen for å deaktivere beskyttelsestiltak og bane vei for at kryptogruvearbeideren kan operere uoppdaget.
Blant de mest bemerkelsesverdige handlingene til manuset er:
- Opprette planlagte oppgaver forkledd med legitime navn som "OnedriveStartup".
- Innsetting av ondsinnede kommandoer i registro del sistema operativo, og sikrer at den holder seg ved omstart.
- Deaktivering av grunnleggende sikkerhetstjenester, inkludert Windows Update og Windows Medic.
- Inkludering av gruvearbeiderens katalog i Windows Defender ekskluderingsliste.
Videre, hvis angrepet ikke lykkes administratorrettigheter Under kjøretid bruker den en teknikk kjent som "DLL-kapring" via en falsk MLANG.dll-fil. Denne taktikken gjør at en ondsinnet binærfil kan kjøres ved å etterligne en legitim systemkjørbar som ComputerDefaults.exe, og gi den det nødvendige tillatelsesnivået for å fullføre gruveinstallasjonen.
Når systemet er kompromittert, a stille gruvedrift av kryptovalutaer som bruker CPU-ressurser uten at brukeren lett oppdager det. Det har blitt bekreftet at den eksterne serveren også er vert for kataloger som "/npm/", noe som vekker mistanke om at denne kampanjen kan utvides til andre portaler som NPM. Selv om det så langt ikke er funnet noen konkrete bevis på den plattformen.
Hva du skal gjøre hvis du har installert noen av disse utvidelsene
Hvis du, eller noen i teamet ditt, har installert noen av de mistenkelige utvidelsene, Det er en prioritet å eliminere dem fra arbeidsmiljøet. Bare å avinstallere dem fra editoren er ikke nok, siden mange av handlingene som utføres av skriptet er vedvarende og forblir selv etter fjerning av utvidelsen.
Det er best å følge disse trinnene:
- Slett planlagte oppgaver manuelt som "OnedriveStartup".
- Slett mistenkelige oppføringer i Windows-registeret relatert til skadelig programvare.
- Se gjennom og rengjør de berørte katalogene, spesielt de som er lagt til eksklusjonslisten.
- Utfør en full skanning med oppdaterte antivirusverktøy og vurder å bruke avanserte løsninger som oppdager unormal atferd.
Og fremfor alt, handle raskt: selv om hovedskaden er uautorisert bruk av systemressurser (høyt forbruk, treghet, overoppheting, etc.), Det er ikke utelukket at angriperne kan ha åpnet andre bakdører..
Denne episoden har fremhevet hvor enkelt det er å utnytte tillit i utviklingsmiljøer, selv på plattformer som er etablert som den offisielle VSCode Marketplace. Derfor anbefales brukere å Sjekk kilden til utvidelsen nøye før du installerer den, prioriter de med en verifisert brukerbase og unngå nye pakker fra ukjente utviklere. Spredningen av denne typen ondsinnede kampanjer viser en bekymringsfull realitet: utviklingsmiljøer, som tidligere ble ansett som sikre som standard, De kan også bli angrepsvektorer hvis robuste validerings- og overvåkingsprotokoller ikke brukes. Foreløpig faller ansvaret på både plattformleverandører og utviklere selv, som må være på vakt.
Jeg er en teknologientusiast som har gjort sine "geek"-interesser til et yrke. Jeg har brukt mer enn 10 år av livet mitt på å bruke banebrytende teknologi og fikse med alle slags programmer av ren nysgjerrighet. Nå har jeg spesialisert meg på datateknologi og videospill. Dette er fordi jeg i mer enn 5 år har skrevet for forskjellige nettsteder om teknologi og videospill, og laget artikler som prøver å gi deg den informasjonen du trenger på et språk som er forståelig for alle.
Hvis du har spørsmål, spenner min kunnskap fra alt relatert til Windows-operativsystemet samt Android for mobiltelefoner. Og mitt engasjement er til deg, jeg er alltid villig til å bruke noen minutter og hjelpe deg med å løse eventuelle spørsmål du måtte ha i denne internettverdenen.