IT之家 4 月 8 日消息,科技媒体 bleepingcomputer 昨日(4 月 7 日)发布博文,报道称安全专家在微软 VSCode 扩展商店中,发现了 9 款伪装成开发工具的恶意插件。这些插件通过植入 XMRig 挖矿程序,秘密开采以太坊和门罗币。
网络安全公司 ExtensionTotal 研究员 Yuval Ronen 发现,微软 VSCode 扩展商店中 9 款插件实为挖矿木马。这些插件伪装成热门开发工具,包括 Discord Rich Presence(18.9 万次安装)、Roblox 同步工具 Rojo(11.7 万次安装)及多款编程语言编译器。IT之家附上列表如下:
Discord Rich Presence for VS Code (by `Mark H`)
Rojo – Roblox Studio Sync (by `evaera`)
Solidity Compiler (by `VSCode Developer`)
Claude AI (by `Mark H`)
Golang Compiler (by `Mark H`)
ChatGPT Agent for VSCode (by `Mark H`)
HTML Obfuscator (by `Mark H`)
Python Obfuscator for VSCode (by `Mark H`)
Rust Compiler for VSCode (by `Mark H`)
所有插件均标注为 2025 年 4 月 4 日发布,总安装量已突破 30 万次,但实际数据可能被恶意刷高以吸引更多用户。
安装后,插件会从外部服务器(asdf11xyz)拉取 PowerShell 脚本。该脚本分三步实施攻击:首先创建名为 "OnedriveStartup" 的定时任务,并将恶意启动项写入 Windows 注册表。
随后关闭 Windows 更新服务,并将工作目录加入杀毒软件排除列表;若未获管理员权限,则通过仿冒 ComputerDefaults.exe 程序及劫持 MLANG.dll 实现提权。最终,脚本解码 base64 格式的 Launcher.exe,连接二级服务器(myaunetsu)下载 XMRig 矿工程序。
值得注意的是,攻击者服务器存在 / npm / 目录,暗示其可能同时针对 Node.js 包平台发起攻击,但目前尚未在 NPM 发现相关恶意文件。
ExtensionTotal 已向微软报告此事,但截至发稿涉事插件仍未下架,安全专家建议受影响用户立即卸载插件,并手动删除相关注册表项、定时任务及 C:\ProgramData\Launcher 目录。
