九款恶意 VSCode 扩展伪装成开发工具(如 Discord 主题、编译器等),累计安装超30万次,感染 Windows 用户设备。
在微软的 Visual Studio Code 市场中有九个 VSCode 扩展伪装成合法开发工具,同时感染用户设备,植入 XMRig 加密货币矿工以挖掘以太坊和门罗币。
Microsoft VSCode 是一款流行的代码编辑器,允许用户安装扩展以扩展程序的功能。这些扩展可以从微软的 VSCode 市场下载,这是一个供开发者查找和安装插件的在线中心。
ExtensionTotal 研究员 Yuval Ronen 发现了九个于 2025 年 4 月 4 日在微软门户上发布的 VSCode 扩展。
市场数据显示,这些扩展自 4 月 4 日以来已累计超过 30 万次安装。这些数字可能是人为虚高的,目的是让扩展显得更合法和更受欢迎,从而吸引更多用户安装。
ExtensionTotal 表示已向微软报告了这些恶意扩展,但截至本文撰写时,它们仍可在市场上找到。
VSCode 市场上的Discord 主题扩展
PowerShell 脚本安装 XMRig 矿工
当安装并激活后,恶意扩展会从外部源 ‘https://asdf11[.]xyz/’ 获取 PowerShell 脚本并执行。完成后,它还会安装其伪装的合法扩展,以避免用户产生怀疑。
下载PowerShell 脚本的代码
恶意 PowerShell 脚本执行多种功能,包括禁用防御、建立持久性、提升权限,最终加载加密货币矿工。
首先,它创建一个伪装为“OnedriveStartup”的计划任务,并在 Windows 注册表中注入脚本,以确保恶意软件(Launcher.exe)在系统启动时运行。
接下来,它关闭关键的 Windows 服务(如 Windows Update 和 Update Medic),并将工作目录添加到 Windows Defender 的排除列表中,以逃避检测。
如果恶意软件未以管理员权限执行,它会模仿系统二进制文件(ComputerDefaults.exe),并通过恶意 MLANG.dll 进行 DLL 劫持以提升权限并执行 Launcher.exe 有效载荷。
可执行文件以 base64 编码形式提供,PowerShell 脚本对其进行解码,以连接到二级服务器 myaunet[.]su 下载并运行 XMRig,这是一种门罗币加密货币矿工。
威胁行为者的远程服务器上还有一个 /npm/ 文件夹,可能表明该活动也在该软件包索引上进行。然而,我们尚未在 NPM 平台上找到恶意文件。
威胁行为者服务器上的NPM 目录
如果您安装了 ExtensionTotal 报告中提到的九个扩展中的任何一个,您应立即卸载它们,然后手动定位并删除加密货币矿工、计划任务、注册表键和恶意软件目录。
转载请注明出处@安全威胁纵横,封面由ChatGPT生成;
消息来源:https://www.bleepingcomputer.com/news/security/malicious-vscode-extensions-infect-windows-with-cryptominers/
更多网络安全视频,请关注视频号“知道创宇404实验室”
原文始发于微信公众号(安全威胁纵横):恶意 VSCode 扩展植入加密货币矿工,30万设备被感染
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论