Škodlivé rozšírenia vo VSCode: Nový vektor útoku na inštaláciu kryptomínov na Windows

Posledná aktualizácia: 08/04/2025
Autor: Alberto Navarro

  • 9 škodlivých rozšírení objavených na VSCode Marketplace
  • Malvér nainštaluje kryptominer XMRig, ktorý ťaží na pozadí.
  • Rozšírenia sa javili ako legitímne vývojové nástroje
  • Microsoft ešte neodstránil všetky škodlivé rozšírenia

Visual Studio Code, alebo jednoducho VSCode, sa stal jedným z obľúbených nástrojov programátorov po celom svete. Jeho všestrannosť a možnosť pridávania funkcií prostredníctvom rozšírení ho robia obzvlášť atraktívnym.. Ale práve táto otvorenosť sa stala vstupnou bránou pre kybernetické hrozby, ktoré využívajú dôveru používateľov.

Za posledných pár dní vyšli najavo niektoré veci: Deväť rozšírení na oficiálnom trhu VSCode Marketplace, ktoré ukrývajú škodlivý kód. Aj keď sa zdajú byť legitímne nástroje zamerané na zlepšenie skúseností s vývojom, v skutočnosti Infikujú systémy šifrovacím softvérom navrhnutým tak, aby tajne využíval zdroje počítača.. Tento objav vyvolal obavy v komunite vývojárov a zdôrazňuje potrebu prísnejšieho dohľadu nad týmito typmi platforiem.

Ohrozené rozšírenia na VSCode Marketplace

vscode rozšírenia s malvérom

Tento objav urobil Yuval Ronen, výskumník na platforme ExtensionTotal, ktorý zistil, že séria rozšírení dostupných na portáli Microsoft pre VSCode Po nainštalovaní aktivovali skrytý kód. Tento kód umožnil spustenie skriptu PowerShell, ktorý stiahol a na pozadí nainštaloval kryptominer XMRig, ktorý sa používa pri nelegálnych operáciách ťažby kryptomien, ako sú Monero a Ethereum.

Ten/Tá/To Ovplyvnené balíčky boli vydané 4. apríla 2025a boli už dostupné na inštaláciu všetkým používateľom bez akýchkoľvek obmedzení. Rozšírenia Boli prezentované ako užitočné nástroje, niektoré súvisiace s jazykovými kompilátormi a iné s umelou inteligenciou alebo nástrojmi pre vývojárov.. Nižšie je uvedený úplný zoznam nahlásených rozšírení:

  • Discord Rich Presence pre VSCode – od Marka H
  • Červená – Roblox Studio Sync – od evaera
  • Solidity Compiler – od VSCode Developer
  • Claude AI – od Marka H
  • Kompilátor Golang – od Marka H
  • ChatGPT Agent pre VSCode – od Marka H
  • HTML Obfuscator – od Marka H
  • Python Obfuscator – od Marka H
  • Kompilátor Rust pre VSCode – od Marka H
Exkluzívny obsah – kliknite sem  Ako zmením proxy server na pripojenie k službe Avast?

Je potrebné poznamenať, že niektoré z týchto rozšírení mali prekvapivo vysoké rýchlosti vybíjania; Napríklad „Discord Rich Presence“ vykázalo viac ako 189.000 117.000 inštalácií, zatiaľ čo „Rojo – Roblox Studio Sync“ malo približne XNUMX XNUMX inštalácií. Upozorňujú na to mnohí odborníci na kybernetickú bezpečnosť Tieto čísla mohli byť umelo nafúknuté, aby vytvorili dojem popularity. a prilákať viac nič netušiacich používateľov.

V čase verejných správ, Rozšírenia boli naďalej dostupné v Marketplace, čo viedlo ku kritike spoločnosti Microsoft za jej nedostatočnú okamžitú reakciu na bezpečnostné upozornenia. Skutočnosť, že išlo o inštalácie z oficiálneho zdroja, robí problém ešte delikátnejším.

Ako útok funguje: techniky používané škodlivými rozšíreniami

škodlivý skript vscode

Proces infekcie začína ihneď po inštalácii rozšírenia. V tomto bode sa spustí skript PowerShell, ktorý sa stiahne z externej adresy: https://asdfqq(.)xyz. Tento skript je potom zodpovedný za vykonanie niekoľkých skrytých akcií, ktoré umožňujú baníkovi vnoriť sa do postihnutého počítača.

Exkluzívny obsah – kliknite sem  Ako umlčať súperov tím? A vyhnúť sa šarlatánom?

Jedna z prvých vecí, ktoré skript robí, je nainštalujte skutočné rozšírenie, za ktoré sa škodlivý pokúšal. Cieľom je vyhnúť sa podozreniu zo strany používateľa, ktorý by si mohol všimnúť rozdiel vo funkčnosti. Medzitým kód naďalej beží na pozadí, aby deaktivoval ochranné opatrenia a pripravil cestu pre krypto baníkov, aby fungoval nezistene.

Medzi najvýznamnejšie akcie skriptu patria:

  • Vytváranie naplánovaných úloh zamaskované legitímnymi názvami ako „OnedriveStartup“.
  • Vkladanie škodlivých príkazov do protokol operačného systému, čím sa zabezpečí jeho pretrvávanie počas reštartov.
  • Deaktivácia základných bezpečnostných služiebvrátane Windows Update a Windows Medic.
  • Zaradenie adresára baníkov do Zoznam vylúčení programu Windows Defender.

Navyše, ak sa útok nepodarí oprávnenia správcu Za behu využíva techniku ​​známu ako „únos DLL“ prostredníctvom falošného súboru MLANG.dll. Táto taktika umožňuje spustiť škodlivý binárny súbor napodobňovaním legitímneho spustiteľného systému, ako je ComputerDefaults.exe, a udeliť mu potrebnú úroveň povolení na dokončenie inštalácie baníka.

Akonáhle je systém ohrozený, a tichá banská prevádzka kryptomien, ktoré spotrebúvajú zdroje CPU bez toho, aby to používateľ ľahko zistil. Potvrdilo sa, že vzdialený server tiež hostí adresáre ako „/npm/“, čo vyvoláva podozrenie, že by sa táto kampaň mohla rozšíriť aj na iné portály, ako je NPM. Aj keď zatiaľ sa na tejto platforme nenašli žiadne konkrétne dôkazy.

Čo robiť, ak máte nainštalované niektoré z týchto rozšírení

Ak ste vy alebo niekto z vášho tímu nainštalovali niektoré z podozrivých rozšírení, Prioritou je ich eliminácia z pracovného prostredia. Len ich odinštalovanie z editora nestačí, pretože mnohé akcie vykonané skriptom sú trvalé a zostávajú zachované aj po odstránení rozšírenia.

Exkluzívny obsah – kliknite sem  Ako dám súhlas s nahrávaním na Zoome?

Najlepšie je postupovať podľa týchto krokov:

  • Ručne odstráňte naplánované úlohy ako „OnedriveStartup“.
  • Vymažte podozrivé záznamy v Register systému Windows súvisiace s malvérom.
  • Skontrolujte a vyčistite postihnuté adresáre, najmä tých, ktoré boli pridané do zoznamu vylúčených osôb.
  • Vykonajte úplné skenovanie s aktualizovanými antivírusovými nástrojmi a zvážte použitie pokročilých riešení, ktoré detegujú anomálne správanie.

A predovšetkým konať rýchlo: hoci hlavnou škodou je neoprávnené použitie systémových prostriedkov (vysoká spotreba, pomalosť, prehrievanie atď.), Nie je vylúčené, že útočníci si mohli pootvárať ďalšie zadné dvierka..

Táto epizóda zdôraznila, aké ľahké je využiť dôveru vo vývojové prostredia, dokonca aj na platformách, ktoré sú zavedené ako oficiálny VSCode Marketplace. Používateľom sa preto odporúča Pred inštaláciou rozšírenia starostlivo skontrolujte zdroj, uprednostňujte používateľov s overenou používateľskou základňou a vyhýbajte sa novým balíkom od neznámych vývojárov. Šírenie tohto typu škodlivých kampaní demonštruje znepokojivú realitu: vývojové prostredia, ktoré boli predtým štandardne považované za bezpečné, Môžu sa tiež stať vektormi útoku ak sa neuplatňujú robustné protokoly validácie a monitorovania. Zodpovednosť zatiaľ padá na poskytovateľov platforiem aj samotných vývojárov, ktorí musia zostať ostražití.