VSCode 中的恶意扩展:在 Windows 上安装加密货币挖矿程序的新攻击媒介

最后更新: 2025年08月04日
作者: 阿尔贝托·纳瓦罗

  • VSCode 市场中发现 9 个恶意扩展
  • 该恶意软件会安装一个在后台进行挖矿的 XMRig 加密矿工。
  • 这些扩展似乎是合法的开发工具
  • 微软尚未删除所有有害扩展

Visual Studio Code,或简称 VSCode,已成为全球程序员最喜欢的工具之一。 它的多功能性和通过扩展添加功能的可能性使其特别有吸引力。。但正是这种开放性成为了利用用户信任的网络威胁的门户。

在过去的几天里,一些事情逐渐浮出水面: VSCode 官方市场中的九个可隐藏恶意代码的扩展。虽然它们看起来是旨在改善开发体验的合法实用程序,但实际上 他们利用旨在秘密利用计算机资源的加密挖掘软件来感染系统。。这一发现引起了开发者社区的担忧,并凸显了对此类平台进行更严格监管的必要性。

VSCode 市场中的受感染扩展

含有恶意软件的 vscode 扩展

这一发现是由 ExtensionTotal 平台的研究员 Yuval Ronen 发现的,他检测到微软门户网站上为 VSCode 提供的一系列扩展 安装后激活了隐藏代码。该代码允许执行 PowerShell 脚本,该脚本在后台下载并安装 XMRig 加密矿工,用于非法加密货币挖掘操作,例如 Monero 和 Ethereum。

受影响的软件包于 4 年 2025 月 XNUMX 日发布,并且已经可供任何用户安装,不受任何限制。扩展 它们被呈现为有用的工具,一些与语言编译器有关,另一些与人工智能或开发人员实用程序有关。。以下是已报告的扩展的完整列表:

  • VSCode 的 Discord Rich Presence – 作者:Mark H
  • 红色 – Roblox Studio Sync – 作者:evaera
  • Solidity 编译器 – 由 VSCode 开发人员提供
  • Claude AI——作者:Mark H
  • Golang 编译器 – 作者:Mark H
  • ChatGPT Agent for VSCode – 作者:Mark H
  • HTML 混淆器 – 作者:Mark H
  • Python 混淆器——作者:Mark H
  • VSCode 的 Rust 编译器 – 作者:Mark H
独家内容 - 点击这里  如何查看我的 AVG 防病毒软件 Mac 版许可证?

需要注意的是,其中一些扩展 放电率高得惊人;例如,“Discord Rich Presence”的安装量超过 189.000 次,而“Rojo - Roblox Studio Sync”的安装量约为 117.000 次。许多网络安全专家指出 这些数字可能被人为夸大,以营造出受欢迎的假象。 并吸引更多毫无戒心的用户。

截至公开报道时, 这些扩展仍可在 Marketplace 上购买,导致微软因未能立即对安全警报做出反应而受到批评。由于这些都是来自官方来源的安装,因此问题变得更加微妙。

攻击如何运作:恶意扩展使用的技术

恶意 vscode 脚本

扩展程序安装后,感染过程立即开始。 此时,将执行从外部地址下载的 PowerShell 脚本:https://asdfqq(.)xyz。然后,该脚本负责执行几个隐秘的操作,使矿工可以嵌套在受影响的计算机中。

独家内容 - 点击这里  如何确保我的数据安全?

该脚本首先要做的是 安装恶意扩展程序试图冒充的真实扩展程序。这样做的目的是避免用户因注意到功能差异而产生怀疑。同时,代码继续在后台运行,以禁用保护措施并为加密矿工不被发现地运行铺平道路。

该脚本中最值得注意的操作包括:

  • 创建计划任务 使用“OnedriveStartup”等合法名称进行伪装。
  • 插入恶意命令 操作系统日志确保其在重启后依然有效。
  • 停用基本安全服务,包括 Windows Update 和 Windows Medic。
  • 将矿工目录纳入 Windows Defender 排除列表.

此外,如果攻击未能成功 管理员权限 在运行时,它通过伪造的 MLANG.dll 文件采用一种称为“DLL 劫持”的技术。此策略通过模仿合法的系统可执行文件(例如 ComputerDefaults.exe)来执行恶意二进制文件,并授予其完成矿工安装所需的权限级别。

一旦系统被入侵, 无声采矿作业 加密货币会消耗 CPU 资源,而用户却很难察觉。该远程服务器还被确认托管“/npm/”等目录,这让人怀疑此次攻击活动可能会扩展到 NPM 等其他门户。尽管,到目前为止,还没有在该平台上发现任何确凿的证据。

如果你安装了以下扩展程序该怎么办

如果你或你团队中的某个人安装了任何可疑的扩展程序, 把他们从工作环境中剔除是当务之急。仅仅从编辑器中卸载它们是不够的,因为脚本执行的许多操作是持久的,即使在删除扩展后仍然会保留。

独家内容 - 点击这里  如何在不显示 IP 地址或地理位置信息的情况下匿名浏览网页

最好遵循以下步骤:

  • 手动删除计划任务 作为“OnedriveStartup”。
  • 删除可疑条目 Windows 注册表 与恶意软件相关。
  • 检查并清理受影响的目录,尤其是那些被添加到排除名单中的国家。
  • 执行 使用更新的防病毒工具进行全面扫描 并考虑使用检测异常行为的高级解决方案。

最重要的是,要迅速采取行动:虽然主要的损害是未经授权使用系统资源(高消耗、缓慢、过热等), 不排除攻击者可能还开启了其他后门。.

这一事件凸显了利用开发环境中的信任是多么容易,即使是在像官方 VSCode 市场这样成熟的平台上也是如此。因此,建议用户 在安装任何扩展之前,请仔细检查其来源,优先考虑那些拥有经过验证的用户群的软件包,并避免使用来自未知开发者的新软件包。此类恶意活动的激增表明了一个令人担忧的现实:以前默认被认为是安全的开发环境, 它们也可能成为攻击媒介 如果没有采用严格的验证和监控协议。目前,责任在于平台提供商和开发者本身,他们必须保持警惕。