Visual Studio Code市場(chǎng)出現(xiàn)10個(gè)惡意擴(kuò)展冒充AI幫助開(kāi)發(fā)者編寫代碼實(shí)則挖礦

安全 2025-04-13 19:14

聲明：該文章來(lái)自（藍(lán)點(diǎn)網(wǎng)）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁(yè)加速服務(wù)。

Visual Studio Code 是微軟推出的開(kāi)源免費(fèi)代碼編輯器，該代碼編輯器還包含市場(chǎng)用來(lái)提供各種各樣的擴(kuò)展程序，這些擴(kuò)展程序大部分是第三方開(kāi)發(fā)者提供的因此也難免存在惡意擴(kuò)展。

ExtensionTotal 的安全研究人員 Yuval Ronen 日前就發(fā)現(xiàn) 10 個(gè)新的惡意擴(kuò)展程序，這些擴(kuò)展程序冒充工具和 AI 擴(kuò)展程序，實(shí)則會(huì)在安裝后再安裝 XMRig，這是一個(gè)開(kāi)源的門羅幣挖礦程序，可以利用用戶的 CPU 進(jìn)行挖礦。

這些擴(kuò)展程序名稱為：

Prettier – Code for VSCode by PrettierTeam – 48.6萬(wàn)次安裝(注意其冒充 Prettier – Code formatter 擴(kuò)展)
Discord Rich Presence for VS Code (by `Mark H`) – 18.9 萬(wàn)次安裝
Rojo – Roblox Studio Sync (by `evaera`) – 11.7 萬(wàn)次安裝
Solidity Compiler (by `VSCode Developer`) – 1300 次安裝
Claude AI (by `Mark H`)
Golang Compiler (by `Mark H`)
ChatGPT Agent for VSCode (by `Mark H`)
HTML Obfuscator (by `Mark H`)
Python Obfuscator for VSCode (by `Mark H`)
Rust Compiler for VSCode (by `Mark H`)

研究人員已經(jīng)向微軟報(bào)告這些擴(kuò)展程序，不過(guò)可能出于謹(jǐn)慎考慮避免再出現(xiàn)上次誤封情況，這些擴(kuò)展程序暫時(shí)還可以繼續(xù)下載和安裝，如果微軟確定存在問(wèn)題的話可以直接下架并封禁開(kāi)發(fā)者賬號(hào)，同時(shí)還會(huì)遠(yuǎn)程禁用用戶已經(jīng)安裝的這些擴(kuò)展程序。

分析顯示這些擴(kuò)展程序在被激活后會(huì)聯(lián)系 hxxp://asdf11.xyz (這個(gè)域名注冊(cè)的也確實(shí)夠隨意) 下載 Powershell 腳本并運(yùn)行，值得注意的是這些惡意擴(kuò)展的部分功能還能使用，確保安裝的開(kāi)發(fā)者不會(huì)發(fā)現(xiàn)什么異常。

下載腳本并運(yùn)行后，腳本會(huì)創(chuàng)建一個(gè)名為 OnedriveStartup 的計(jì)劃任務(wù)，也就是冒充 OneDrive 啟動(dòng)項(xiàng)，同時(shí)還在注冊(cè)表里注入腳本確保名為 Launcher.exe 的啟動(dòng)器可以開(kāi)機(jī)自啟動(dòng)。

接著這個(gè)惡意軟件還會(huì)關(guān)閉 Windows Update 等服務(wù)、將其目錄添加到 Microsoft Defender 排除項(xiàng)里，也就是即便后面微軟更新病毒庫(kù)也會(huì)將其排除在查殺列表外。

最后腳本會(huì)通過(guò) hxxp://myaunet.su 域名下載門羅幣挖礦腳本 XMRig，如果用戶觀察到 PC 風(fēng)扇高速運(yùn)轉(zhuǎn)以及系統(tǒng)變卡，則需要檢查 VS Code 是否安裝了這些擴(kuò)展，但即便刪除擴(kuò)展應(yīng)該也沒(méi)用，最好還是找個(gè)其他殺毒軟件進(jìn)行全盤查殺，畢竟 Microsoft Defender 無(wú)法檢測(cè)出來(lái)。

注：Microsoft Defender 是可以檢出門羅幣挖礦腳本的，如果用戶檢查排除目錄并刪除已知的排除目錄再用 Defender 檢測(cè)應(yīng)該可以發(fā)現(xiàn)挖礦腳本。

關(guān)注我們