数据:
10个恶意扩展程序,利用Visual Studio Code进行门罗币挖矿,涉及的扩展包括“Prettier – Code for VSCode”、“Discord Rich Presence for VS Code”等。
线索:
这些恶意扩展伪装成开发工具或AI扩展,可能带来重大的投资风险,用户如果不加以警惕,可能会使设备被利用进行挖矿。同时,这也预示着对于开发者工具市场的监管需要加强,以保护用户免受潜在的安全威胁。
正文:
Visual Studio Code是一款由微软推出的开源免费代码编辑器,支持多种扩展程序。然而,最近有报道称市场上出现了10个恶意扩展程序。这些扩展在安装后会偷偷安装XMRig,这是一个用于门罗币挖矿的开源程序,利用用户的CPU进行挖矿活动。
安全研究人员Yuval Ronen发现的这些恶意扩展伪装成多种工具和AI扩展,以下是其中一些的名称及其安装量:
– “Prettier – Code for VSCode by PrettierTeam” – 48.6万次安装(此扩展冒充“Prettier – Code formatter”)
– “Discord Rich Presence for VS Code” (作者为Mark H) – 18.9万次安装
– “Rojo – Roblox Studio Sync” (作者为evaera) – 11.7万次安装
– “Solidity Compiler” (作者为VSCode Developer) – 1300次安装
– 其他包括“Claude AI”、“Golang Compiler”、“ChatGPT Agent for VSCode”、“HTML Obfuscator”、“Python Obfuscator for VSCode”、“Rust Compiler for VSCode”等。
研究人员已经向微软报告了这些扩展,但出于谨慎考虑,目前这些扩展仍然可以下载和安装。若微软确定这些扩展存在问题,将会下架并封禁相关开发者账号,同时可能会远程禁用用户已经安装的扩展。
详细分析显示,这些扩展在被激活后会与一个域名(hxxp://asdf11.xyz)联系以下载并执行PowerShell脚本。值得警惕的是,这些恶意扩展的部分功能仍能使用,从而让开发者未能察觉到异常。
该脚本创建了一个名为“OnedriveStartup”的计划任务,以伪装成OneDrive启动项,同时在注册表中注入脚本,确保名为“Launcher.exe”的启动器随系统启动。恶意软件还会关闭Windows Update等服务,并把自己的目录加入Microsoft Defender的排除项,以避免后续的安全更新检测。
最后,脚本通过另一个域名(hxxp://myaunet.su)下载XMRig挖矿脚本。如果用户注意到电脑运行速度减慢或风扇噪音加大,应该检查是否安装了这些扩展。即使删除了这些扩展,可能也没用,建议用户使用其他杀毒软件进行全面扫描,以确保彻底清除恶意程序。需要注意的是,Microsoft Defender虽然能够检测到门罗币挖矿脚本,但用户需检查排除目录并删除已知的项后,重新使用Defender进行检查。
发布时间:
2025-04-08 14:30:00
评论 ( 0 )