Visual Studio Code 是微軟推出的開源免費代碼編輯器，該代碼編輯器還包含市場用來提供各種各樣的擴展程序，這些擴展程序大部分是第三方開發(fā)者提供的因此也難免存在惡意擴展。

ExtensionTotal 的安全研究人員 Yuval Ronen 日前就發(fā)現(xiàn) 10 個新的惡意擴展程序，這些擴展程序冒充工具和 AI 擴展程序，實則會在安裝后再安裝 XMRig，這是一個開源的門羅幣挖礦程序，可以利用用戶的 CPU 進行挖礦。

這些擴展程序名稱為：

• Prettier – Code for VSCode by PrettierTeam – 48.6萬次安裝(注意其冒充 Prettier – Code formatter 擴展)

• Discord Rich Presence for VS Code (by `Mark H`) – 18.9 萬次安裝

• Rojo – Roblox Studio Sync (by `evaera`) – 11.7 萬次安裝

• Solidity Compiler (by `VSCode Developer`) – 1300 次安裝

• Claude AI (by `Mark H`)

• Golang Compiler (by `Mark H`)

• ChatGPT Agent for VSCode (by `Mark H`)

• HTML Obfuscator (by `Mark H`)

• Python Obfuscator for VSCode (by `Mark H`)

• Rust Compiler for VSCode (by `Mark H`)

研究人員已經(jīng)向微軟報告這些擴展程序，不過可能出于謹慎考慮避免再出現(xiàn)上次誤封情況，這些擴展程序暫時還可以繼續(xù)下載和安裝，如果微軟確定存在問題的話可以直接下架并封禁開發(fā)者賬號，同時還會遠程禁用用戶已經(jīng)安裝的這些擴展程序。

分析顯示這些擴展程序在被激活后會聯(lián)系 hxxp://asdf11.xyz (這個域名注冊的也確實夠隨意) 下載 Powershell 腳本并運行，值得注意的是這些惡意擴展的部分功能還能使用，確保安裝的開發(fā)者不會發(fā)現(xiàn)什么異常。

下載腳本并運行后，腳本會創(chuàng)建一個名為 OnedriveStartup 的計劃任務(wù)，也就是冒充 OneDrive 啟動項，同時還在注冊表里注入腳本確保名為 Launcher.exe 的啟動器可以開機自啟動。

接著這個惡意軟件還會關(guān)閉 Windows Update 等服務(wù)、將其目錄添加到 Microsoft Defender 排除項里，也就是即便后面微軟更新病毒庫也會將其排除在查殺列表外。

最后腳本會通過 hxxp://myaunet.su 域名下載門羅幣挖礦腳本 XMRig，如果用戶觀察到 PC 風扇高速運轉(zhuǎn)以及系統(tǒng)變卡，則需要檢查 VS Code 是否安裝了這些擴展，但即便刪除擴展應該也沒用，最好還是找個其他殺毒軟件進行全盤查殺，畢竟 Microsoft Defender 無法檢測出來。

注：Microsoft Defender 是可以檢出門羅幣挖礦腳本的，如果用戶檢查排除目錄并刪除已知的排除目錄再用 Defender 檢測應該可以發(fā)現(xiàn)挖礦腳本。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/