開發者請立即清理:微軟 VSCode 擴展商店發現 9 款挖礦惡意插件,已安裝超 30 萬次
IT之家 4 月 8 日消息,科技媒體 bleepingcomputer 昨日(4 月 7 日)發布博文,報道稱安全專家在微軟 VSCode 擴展商店中,發現了 9 款偽裝成開發工具的惡意插件。這些插件通過植入 XMRig 挖礦程序,秘密開采以太坊和門羅幣。
網絡安全公司 ExtensionTotal 研究員 Yuval Ronen 發現,微軟 VSCode 擴展商店中 9 款插件實為挖礦木馬。這些插件偽裝成熱門開發工具,包括 Discord Rich Presence(18.9 萬次安裝)、Roblox 同步工具 Rojo(11.7 萬次安裝)及多款編程語言編譯器。IT之家附上列表如下:
Discord Rich Presence for VS Code (by `Mark H`)
Rojo – Roblox Studio Sync (by `evaera`)
Solidity Compiler (by `VSCode Developer`)
Claude AI (by `Mark H`)
Golang Compiler (by `Mark H`)
ChatGPT Agent for VSCode (by `Mark H`)
HTML Obfuscator (by `Mark H`)
Python Obfuscator for VSCode (by `Mark H`)
Rust Compiler for VSCode (by `Mark H`)
所有插件均標注為 2025 年 4 月 4 日發布,總安裝量已突破 30 萬次,但實際數據可能被惡意刷高以吸引更多用戶。
安裝后,插件會從外部服務器(asdf11xyz)拉取 PowerShell 腳本。該腳本分三步實施攻擊:首先創建名為 "OnedriveStartup" 的定時任務,并將惡意啟動項寫入 Windows 注冊表。
隨后關閉 Windows 更新服務,并將工作目錄加入殺毒軟件[IT江湖]排除列表;若未獲管理員權限,則通過仿冒 ComputerDefaults.exe 程序及劫持 MLANG.dll 實現提權。最終,腳本解碼 base64 格式的 Launcher.exe,連接二級服務器(myaunetsu)下載 XMRig 礦工程序。
值得注意的是,攻擊者服務器存在 / npm / 目錄,暗示其可能同時針對 Node.js 包平臺發起攻擊,但目前尚未在 NPM 發現相關惡意文件。
ExtensionTotal 已向微軟報告此事,但截至發稿涉事插件仍未下架,安全專家建議受影響用戶立即卸載插件,并手動刪除相關注冊表項、定時任務及 C:\ProgramData\Launcher 目錄。
來源:IT之家
