- 9 extensii rău intenționate descoperite în VSCode Marketplace
- Programul malware instalează un criptominer XMRig care minează în fundal.
- Extensiile păreau a fi instrumente de dezvoltare legitime
- Microsoft nu a eliminat încă toate extensiile dăunătoare
Visual Studio Code, sau pur și simplu VSCode, a devenit unul dintre instrumentele preferate pentru programatori din întreaga lume. Versatilitatea sa și posibilitatea de a adăuga funcționalități prin extensii îl fac deosebit de atractiv.. Dar tocmai această deschidere a devenit o poartă de acces pentru amenințările cibernetice care profită de încrederea utilizatorilor.
În ultimele zile, câteva lucruri au ieșit la iveală: Nouă extensii din Piața oficială VSCode care ascund coduri rău intenționate. Deși par a fi utilități legitime care vizează îmbunătățirea experienței de dezvoltare, în realitate Ei infectează sistemele cu software de criptomină conceput pentru a exploata în mod furtiv resursele computerului.. Această descoperire a stârnit îngrijorări în rândul comunității dezvoltatorilor și evidențiază necesitatea unei supravegheri mai stricte a acestor tipuri de platforme.
Extensii compromise în VSCode Marketplace
Descoperirea a fost făcută de Yuval Ronen, cercetător la platforma ExtensionTotal, care a detectat că o serie de extensii disponibile pe portalul Microsoft pentru VSCode Au activat un cod ascuns după ce au fost instalați. Acest cod a permis executarea unui script PowerShell care a descărcat și instalat în fundal criptominerul XMRig, folosit în operațiuni ilegale de minare a criptomonedei precum Monero și Ethereum.
Cel/Cea/Cei/Cele Pachetele afectate au fost lansate pe 4 aprilie 2025, și erau deja disponibile pentru a fi instalate de către orice utilizator fără nicio restricție. Extensiile Acestea au fost prezentate ca instrumente utile, unele legate de compilatoare de limbaj, iar altele de inteligență artificială sau utilități pentru dezvoltatori.. Mai jos este lista completă a extensiilor raportate:
- Prezență bogată în Discord pentru VSCode – de Mark H
- Roșu – Roblox Studio Sync – de evaera
- Solidity Compiler – de către dezvoltatorul VSCode
- Claude AI – de Mark H
- Golang Compiler – de Mark H
- Agent ChatGPT pentru VSCode – de Mark H
- HTML Obfuscator – de Mark H
- Python Obfuscator - de Mark H
- Rust Compiler pentru VSCode – de Mark H
Trebuie remarcat faptul că unele dintre aceste extensii avea rate de descărcare surprinzător de mari; De exemplu, „Discord Rich Presence” a afișat peste 189.000 de instalări, în timp ce „Rojo – Roblox Studio Sync” a avut aproximativ 117.000. Mulți experți în securitate cibernetică au subliniat acest lucru Este posibil ca aceste cifre să fi fost umflate artificial pentru a crea o aparență de popularitate. și atrage mai mulți utilizatori nebănuiți.
De la momentul rapoartelor publice, Extensiile au continuat să fie disponibile pe Marketplace, ceea ce a dus la critici la adresa Microsoft pentru lipsa de răspuns imediat la alertele de securitate. Faptul că acestea erau instalații dintr-o sursă oficială face problema și mai delicată.
Cum funcționează atacul: tehnici utilizate de extensiile rău intenționate
Procesul de infecție începe imediat după instalarea extensiei. În acel moment, se execută un script PowerShell care este descărcat de la o adresă externă: https://asdfqq(.)xyz. Acest script este apoi responsabil pentru efectuarea mai multor acțiuni ascunse care permit minerului să se cuibărească în computerul afectat.
Unul dintre primele lucruri pe care le face scenariul este instalați extensia reală pe care cel rău intenționat încerca să o uzurpare. Acest lucru este menit să evite suspiciunea din partea utilizatorului care ar putea observa orice diferență de funcționalitate. Între timp, codul continuă să ruleze în fundal pentru a dezactiva măsurile de protecție și pentru a deschide calea pentru ca minerul cripto să funcționeze nedetectat.
Printre cele mai notabile acțiuni ale scenariului sunt:
- Crearea sarcinilor programate deghizat cu nume legitime precum „OnedriveStartup”.
- Inserarea de comenzi rău intenționate în jurnalul sistemului de operare, asigurând persistența acestuia în timpul repornirilor.
- Dezactivarea serviciilor de securitate de bază, inclusiv Windows Update și Windows Medic.
- Includerea directorului minerului în Lista de excludere Windows Defender.
În plus, dacă atacul nu reușește privilegii de administrator În timpul execuției, folosește o tehnică cunoscută sub numele de „deturnarea DLL” printr-un fișier MLANG.dll fals. Această tactică permite executarea unui binar rău intenționat prin imitarea unui executabil de sistem legitim, cum ar fi ComputerDefaults.exe, acordându-i nivelul de permisiune necesar pentru a finaliza instalarea minerului.
Odată ce sistemul este compromis, a exploatare miniera silențioasă de criptomonede care consumă resurse CPU fără ca utilizatorul să le detecteze cu ușurință. S-a confirmat că serverul de la distanță găzduiește și directoare precum „/npm/”, ridicând suspiciuni că această campanie s-ar putea extinde și la alte portaluri precum NPM. Deși, până acum, nu s-au găsit dovezi concrete pe platforma respectivă.
Ce trebuie să faceți dacă ați instalat oricare dintre aceste extensii
Dacă tu sau cineva din echipa ta ai instalat oricare dintre extensiile suspecte, Este o prioritate eliminarea acestora din mediul de lucru. Pur și simplu dezinstalarea lor din editor nu este suficientă, deoarece multe dintre acțiunile efectuate de script sunt persistente și rămân chiar și după eliminarea extensiei.
Cel mai bine este să urmați acești pași:
- Ștergeți manual sarcinile programate ca „OnedriveStartup”.
- Ștergeți intrările suspecte din Registrul Windows legate de malware.
- Examinați și curățați directoarele afectate, în special cele adăugate pe lista de excludere.
- Efectuați o scanare completă cu instrumente antivirus actualizate și luați în considerare utilizarea soluțiilor avansate care detectează comportamentul anormal.
Și mai presus de toate, acționați rapid: deși principala pagubă este utilizarea neautorizată a resurselor sistemului (consum mare, lentoare, supraîncălzire etc.), Nu este exclus ca atacatorii să fi deschis alte uși din spate..
Acest episod a evidențiat cât de ușor este să exploatezi încrederea în mediile de dezvoltare, chiar și pe platforme așa cum sunt stabilite ca Piața oficială VSCode. Prin urmare, utilizatorii sunt sfătuiți Verificați cu atenție sursa oricărei extensii înainte de a o instala, acordați prioritate celor cu o bază de utilizatori verificată și evitați pachetele noi de la dezvoltatori necunoscuți. Proliferarea acestui tip de campanii rău intenționate demonstrează o realitate îngrijorătoare: mediile de dezvoltare, considerate anterior sigure implicit, De asemenea, pot deveni vectori de atac dacă nu sunt aplicate protocoale robuste de validare și monitorizare. Deocamdată, responsabilitatea revine atât furnizorilor de platforme, cât și dezvoltatorilor înșiși, care trebuie să rămână vigilenți.
Sunt un pasionat de tehnologie care și-a transformat interesele de „tocilar” într-o profesie. Mi-am petrecut mai bine de 10 ani din viața mea folosind tehnologie de ultimă oră și mânuind cu tot felul de programe din pură curiozitate. Acum m-am specializat în tehnologie computerizată și jocuri video. Asta pentru că de mai bine de 5 ani scriu pentru diverse site-uri web despre tehnologie și jocuri video, creând articole care urmăresc să-ți ofere informațiile de care ai nevoie într-un limbaj pe care oricine este pe înțeles.
Dacă aveți întrebări, cunoștințele mele variază de la tot ce ține de sistemul de operare Windows, precum și Android pentru telefoane mobile. Și angajamentul meu este față de tine, sunt mereu dispus să petrec câteva minute și să te ajut să rezolvi orice întrebări pe care le poți avea în această lume a internetului.