IT之家 4 月 8 日消息,科技媒體 bleepingcomputer 昨日(4 月 7 日)發佈博文,報導稱安全專家在微軟 VSCode 擴展商店中,發現了 9 款偽裝成開發工具的惡意外掛程式。這些外掛程式通過植入 XMRig 挖礦程式,秘密開採乙太坊和門羅幣。
網路安全公司 ExtensionTotal 研究員 Yuval Ronen 發現,微軟 VSCode 擴展商店中 9 款外掛程式實為挖礦木馬。這些外掛程式偽裝成熱門開發工具,包括 Discord Rich Presence(18.9 萬次安裝)、Roblox 同步工具 Rojo(11.7 萬次安裝)及多款程式設計語言編譯器。IT之家附上清單如下:
Discord Rich Presence for VS Code (by `Mark H`)
Rojo – Roblox Studio Sync (by `evaera`)
Solidity Compiler (by `VSCode Developer`)
Claude AI (by `Mark H`)
Golang Compiler (by `Mark H`)
ChatGPT Agent for VSCode (by `Mark H`)
HTML Obfuscator (by `Mark H`)
Python Obfuscator for VSCode (by `Mark H`)
Rust Compiler for VSCode (by `Mark H`)
所有外掛程式均標註為 2025 年 4 月 4 日發佈,總安裝量已突破 30 萬次,但實際數據可能被惡意刷高以吸引更多使用者。
安裝後,外掛程式會從外部伺服器(asdf11xyz)拉取 PowerShell 腳本。該腳本分三步實施攻擊:首先創建名為 "OnedriveStartup" 的定時任務,並將惡意啟動項寫入 Windows 註冊表。
隨後關閉 Windows 更新服務,並將工作目錄加入殺毒軟體排除清單;若未獲管理員許可權,則通過仿冒 ComputerDefaults.exe 程式及劫持 MLANG.dll 實現提權。最終,腳本解碼 base64 格式的 Launcher.exe,連接二級伺服器(myaunetsu)下載 XMRig 礦工程式。
值得注意的是,攻擊者伺服器存在 / npm / 目錄,暗示其可能同時針對 Node.js 包平臺發起攻擊,但目前尚未在 NPM 發現相關惡意檔。
ExtensionTotal 已向微軟報告此事,但截至發稿涉事外掛程式仍未下架,安全專家建議受影響使用者立即卸載外掛程式,並手動刪除相關註冊表項、定時任務及 C:\ProgramData\Launcher 目錄。