開發者請立即清理：微軟 VSCode 擴展商店發現 9 款挖礦惡意插件，已安裝超 30 萬次

IT之家 4 月 8 日消息，科技媒體 bleepingcomputer 昨日（4 月 7 日）發布博文，報道稱安全專家在微軟 VSCode 擴展商店中，發現了 9 款偽裝成開發工具的惡意插件。這些插件通過植入 XMRig 挖礦程序，秘密開采以太坊和門羅幣。

網絡安全公司 ExtensionTotal 研究員 Yuval Ronen 發現，微軟 VSCode 擴展商店中 9 款插件實為挖礦木馬。這些插件偽裝成熱門開發工具，包括 Discord Rich Presence（18.9 萬次安裝）、Roblox 同步工具 Rojo（11.7 萬次安裝）及多款編程語言編譯器。IT之家附上列表如下：

• Discord Rich Presence for VS Code (by `Mark H`)

• Rojo – Roblox Studio Sync (by `evaera`)

• Solidity Compiler (by `VSCode Developer`)

• Claude AI (by `Mark H`)

• Golang Compiler (by `Mark H`)

• ChatGPT Agent for VSCode (by `Mark H`)

• HTML Obfuscator (by `Mark H`)

• Python Obfuscator for VSCode (by `Mark H`)

• Rust Compiler for VSCode (by `Mark H`)

所有插件均標注為 2025 年 4 月 4 日發布，總安裝量已突破 30 萬次，但實際數據可能被惡意刷高以吸引更多用戶。

安裝后，插件會從外部服務器（asdf11xyz）拉取 PowerShell 腳本。該腳本分三步實施攻擊：首先創建名為 "OnedriveStartup" 的定時任務，并將惡意啟動項寫入 Windows 注冊表。

隨后關閉 Windows 更新服務，并將工作目錄加入殺毒軟件[IT江湖]排除列表；若未獲管理員權限，則通過仿冒 ComputerDefaults.exe 程序及劫持 MLANG.dll 實現提權。最終，腳本解碼 base64 格式的 Launcher.exe，連接二級服務器（myaunetsu）下載 XMRig 礦工程序。

值得注意的是，攻擊者服務器存在 / npm / 目錄，暗示其可能同時針對 Node.js 包平臺發起攻擊，但目前尚未在 NPM 發現相關惡意文件。

ExtensionTotal 已向微軟報告此事，但截至發稿涉事插件仍未下架，安全專家建議受影響用戶立即卸載插件，并手動刪除相關注冊表項、定時任務及 C:\ProgramData\Launcher 目錄。