Остерегайтесь вредоносных расширений в VSCode

В VSCode Marketplace обнаружено 9 вредоносных расширений
Вредоносная программа устанавливает криптомайнер XMRig, который осуществляет майнинг в фоновом режиме.
Расширения, по всей видимости, были законными инструментами разработки.
Microsoft еще не удалила все вредоносные расширения

Visual Studio Code, или просто VSCode, стал одним из любимых инструментов программистов по всему миру. Его универсальность и возможность добавления функций посредством расширений делают его особенно привлекательным.. Но именно эта открытость стала воротами для киберугроз, которые эксплуатируют доверие пользователей.

За последние несколько дней выяснились некоторые вещи: Девять расширений в официальном магазине VSCode, скрывающих вредоносный код. Хотя они кажутся законными утилитами, направленными на улучшение процесса разработки, на самом деле Они заражают системы программным обеспечением для майнинга криптовалют, предназначенным для скрытого использования ресурсов компьютера.. Это открытие вызвало обеспокоенность среди сообщества разработчиков и подчеркивает необходимость более строгого надзора за подобными типами платформ.

Скомпрометированные расширения в VSCode Marketplace

Открытие сделал Ювал Ронен, исследователь платформы ExtensionTotal, который обнаружил, что ряд расширений, доступных на портале Microsoft для VSCode Они активировали скрытый код после установки.. Этот код позволял выполнить скрипт PowerShell, который загружал и устанавливал в фоновом режиме криптомайнер XMRig, используемый в нелегальных операциях по майнингу криптовалют, таких как Monero и Ethereum.

Затронутые пакеты были выпущены 4 апреля 2025 г.и уже были доступны для установки любому пользователю без каких-либо ограничений. Расширения Они были представлены как полезные инструменты, некоторые из которых связаны с языковыми компиляторами, а другие — с искусственным интеллектом или утилитами для разработчиков.. Ниже приведен полный список зарегистрированных расширений:

Discord Rich Presence для VSCode – Марк Х.
Красный – Roblox Studio Sync – от evaera
Компилятор Solidity — от разработчика VSCode
Клод AI – Марк Х.
Компилятор Golang – Марк Х.
ChatGPT Agent для VSCode – Марк Х.
HTML Obfuscator – Марк Х.
Python Obfuscator – Марк Х.
Компилятор Rust для VSCode – Марк Х.

Эксклюзивный контент – нажмите здесь Подходит ли Intego Mac Internet Security для неопытных пользователей?

Следует отметить, что некоторые из этих расширений имели удивительно высокие показатели разряда; Например, «Discord Rich Presence» установили более 189.000 117.000 раз, а «Rojo – Roblox Studio Sync» — около XNUMX XNUMX раз. Многие эксперты по кибербезопасности отмечают, что Эти цифры могли быть искусственно завышены, чтобы создать видимость популярности. и привлечь больше ничего не подозревающих пользователей.

На момент публичных отчетов, Расширения по-прежнему доступны в Marketplace., что привело к критике Microsoft за отсутствие немедленной реакции на оповещения о безопасности. Тот факт, что эти установки были сделаны официальным источником, делает проблему еще более деликатной.

Как работает атака: приемы, используемые вредоносными расширениями

Процесс заражения начинается сразу после установки расширения. В этот момент выполняется скрипт PowerShell, который загружается с внешнего адреса: https://asdfqq(.)xyz. Затем этот скрипт отвечает за выполнение нескольких скрытых действий, которые позволяют майнеру внедриться в зараженный компьютер.

Эксклюзивный контент – нажмите здесь Требуется ли пароль для удаления McAfee Mobile Security?

Одна из первых вещей, которую делает сценарий, это установить настоящее расширение, которое злоумышленник пытался выдать. Это сделано для того, чтобы избежать подозрений со стороны пользователя, который может заметить разницу в функциональности. Тем временем код продолжает работать в фоновом режиме, отключая меры защиты и позволяя криптомайнеру работать незаметно.

Среди наиболее примечательных действий сценария:

Создание запланированных задач замаскированные под реальные имена, такие как «OnedriveStartup».
Вставка вредоносных команд в реестр операционной системы, обеспечивая его сохранение при перезагрузках.
Деактивация базовых служб безопасности, включая Центр обновления Windows и Windows Medic.
Включение каталога майнера в Список исключений Защитника Windows.

Более того, если атака не увенчается успехом права администратора Во время выполнения он использует технику, известную как «перехват DLL» с помощью поддельного файла MLANG.dll. Эта тактика позволяет запустить вредоносный двоичный файл, имитируя легитимный системный исполняемый файл, такой как ComputerDefaults.exe, предоставляя ему необходимый уровень разрешений для завершения установки майнера.

Как только система будет скомпрометирована, тихая операция по добыче полезных ископаемых криптовалют, которые потребляют ресурсы ЦП, и пользователь не может это легко обнаружить. Также было подтверждено, что на удаленном сервере размещены такие каталоги, как «/npm/», что вызывает подозрения, что эта кампания может распространяться на другие порталы, такие как NPM. Хотя пока никаких конкретных доказательств на этой платформе обнаружено не было.

Что делать, если вы установили какое-либо из этих расширений

Если вы или кто-то из вашей команды установили какие-либо подозрительные расширения, Их устранение из рабочей среды является приоритетной задачей.. Просто удалить их из редактора недостаточно, поскольку многие действия, выполняемые скриптом, являются постоянными и сохраняются даже после удаления расширения.

Эксклюзивный контент – нажмите здесь Как удалить PC Reimage Repair

Лучше всего выполнить следующие шаги:

Удаляйте запланированные задачи вручную как «OnedriveStartup».
Удалить подозрительные записи в Реестр Windows связанные с вредоносным ПО.
Просмотрите и очистите затронутые каталоги., особенно те, которые добавлены в список исключений.
дирижировать полное сканирование с обновленными антивирусными инструментами и рассмотрите возможность использования передовых решений, выявляющих аномальное поведение.

И, прежде всего, действуйте быстро: хотя основной ущерб — это несанкционированное использование системных ресурсов (высокое потребление, медлительность, перегрев и т. д.), Не исключено, что злоумышленники могли открыть и другие черные ходы..

В этом эпизоде было показано, как легко злоупотребить доверием в средах разработки, даже на таких известных платформах, как официальный рынок VSCode. Поэтому пользователям рекомендуется Внимательно проверяйте источник любого расширения перед его установкой., отдавайте приоритет тем, у кого есть проверенная база пользователей, и избегайте новых пакетов от неизвестных разработчиков. Распространение этого типа вредоносных кампаний демонстрирует тревожную реальность: среды разработки, ранее считавшиеся безопасными по умолчанию, Они также могут стать векторами атак. если не применяются надежные протоколы проверки и мониторинга. На данный момент ответственность лежит как на поставщиках платформ, так и на самих разработчиках, которые должны сохранять бдительность.

Альберто Наварро

Я энтузиаст технологий, который превратил свои «компьютерные» интересы в профессию. Я провел более 10 лет своей жизни, используя передовые технологии и возясь со всевозможными программами из чистого любопытства. Сейчас я специализируюсь на компьютерных технологиях и видеоиграх. Это потому, что более 5 лет я пишу статьи для различных сайтов, посвященных технологиям и видеоиграм, создавая статьи, которые стремятся дать вам необходимую информацию на понятном каждому языке.

Если у вас есть какие-либо вопросы, мои знания варьируются от всего, что связано с операционной системой Windows, а также Android для мобильных телефонов. И я предан вам, я всегда готов потратить несколько минут и помочь вам решить любые вопросы, которые могут у вас возникнуть в этом мире Интернета.