设置
  • 日夜间
    随系统
    浅色
    深色
  • 主题色

开发者请立即清理:微软 VSCode 扩展商店发现 9 款挖矿恶意插件,已安装超 30 万次

2025/4/8 8:47:08 来源:IT之家 作者:故渊 责编:故渊

IT之家 4 月 8 日消息,科技媒体 bleepingcomputer 昨日(4 月 7 日)发布博文,报道称安全专家在微软 VSCode 扩展商店中,发现了 9 款伪装成开发工具的恶意插件。这些插件通过植入 XMRig 挖矿程序,秘密开采以太坊和门罗币。

网络安全公司 ExtensionTotal 研究员 Yuval Ronen 发现,微软 VSCode 扩展商店中 9 款插件实为挖矿木马。这些插件伪装成热门开发工具,包括 Discord Rich Presence(18.9 万次安装)、Roblox 同步工具 Rojo(11.7 万次安装)及多款编程语言编译器。IT之家附上列表如下:

  • Discord Rich Presence for VS Code (by `Mark H`)

  • Rojo – Roblox Studio Sync (by `evaera`)

  • Solidity Compiler (by `VSCode Developer`)

  • Claude AI (by `Mark H`)

  • Golang Compiler (by `Mark H`)

  • ChatGPT Agent for VSCode (by `Mark H`)

  • HTML Obfuscator (by `Mark H`)

  • Python Obfuscator for VSCode (by `Mark H`)

  • Rust Compiler for VSCode (by `Mark H`)

所有插件均标注为 2025 年 4 月 4 日发布,总安装量已突破 30 万次,但实际数据可能被恶意刷高以吸引更多用户。

安装后,插件会从外部服务器(asdf11xyz)拉取 PowerShell 脚本。该脚本分三步实施攻击:首先创建名为 "OnedriveStartup" 的定时任务,并将恶意启动项写入 Windows 注册表。

随后关闭 Windows 更新服务,并将工作目录加入杀毒软件排除列表;若未获管理员权限,则通过仿冒 ComputerDefaults.exe 程序及劫持 MLANG.dll 实现提权。最终,脚本解码 base64 格式的 Launcher.exe,连接二级服务器(myaunetsu)下载 XMRig 矿工程序。

值得注意的是,攻击者服务器存在 / npm / 目录,暗示其可能同时针对 Node.js 包平台发起攻击,但目前尚未在 NPM 发现相关恶意文件。

ExtensionTotal 已向微软报告此事,但截至发稿涉事插件仍未下架,安全专家建议受影响用户立即卸载插件,并手动删除相关注册表项、定时任务及 C:\ProgramData\Launcher 目录。

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。

相关文章

关键词:微软VSCode

软媒旗下网站: IT之家 最会买 - 返利返现优惠券 iPhone之家 Win7之家 Win10之家 Win11之家

软媒旗下软件: 软媒手机APP应用 魔方 最会买 要知