Visual Studio Code 是微軟推出的開源免費程式碼編輯器,該程式碼編輯器還包含市場用來提供各種各樣的擴充套件程式,這些擴充套件程式大部分是第三方開發者提供的因此也難免存在惡意擴充套件。
ExtensionTotal 的安全研究人員 Yuval Ronen 日前就發現 10 個新的惡意擴充套件程式,這些擴充套件程式冒充工具和 AI 擴充套件程式,實則會在安裝後再安裝 XMRig,這是一個開源的門羅幣挖礦程式,可以利用使用者的 CPU 進行挖礦。
這些擴充套件程式名稱為:
-
Prettier – Code for VSCode by PrettierTeam – 48.6萬次安裝(注意其冒充 Prettier – Code formatter 擴充套件)
-
Discord Rich Presence for VS Code (by `Mark H`) – 18.9 萬次安裝
-
Rojo – Roblox Studio Sync (by `evaera`) – 11.7 萬次安裝
-
Solidity Compiler (by `VSCode Developer`) – 1300 次安裝
-
Claude AI (by `Mark H`)
-
Golang Compiler (by `Mark H`)
-
ChatGPT Agent for VSCode (by `Mark H`)
-
HTML Obfuscator (by `Mark H`)
-
Python Obfuscator for VSCode (by `Mark H`)
-
Rust Compiler for VSCode (by `Mark H`)
研究人員已經向微軟報告這些擴充套件程式,不過可能出於謹慎考慮避免再出現上次誤封情況,這些擴充套件程式暫時還可以繼續下載和安裝,如果微軟確定存在問題的話可以直接下架並封禁開發者賬號,同時還會遠端停用使用者已經安裝的這些擴充套件程式。
分析顯示這些擴充套件程式在被啟用後會聯絡 hxxp://asdf11.xyz (這個域名註冊的也確實夠隨意) 下載 Powershell 指令碼並執行,值得注意的是這些惡意擴充套件的部分功能還能使用,確保安裝的開發者不會發現什麼異常。
下載指令碼並執行後,指令碼會建立一個名為 OnedriveStartup 的計劃任務,也就是冒充 OneDrive 啟動項,同時還在登錄檔裡注入指令碼確保名為 Launcher.exe 的啟動器可以開機自啟動。
接著這個惡意軟體還會關閉 Windows Update 等服務、將其目錄新增到 Microsoft Defender 排除項裡,也就是即便後面微軟更新病毒庫也會將其排除在查殺列表外。
最後指令碼會透過 hxxp://myaunet.su 域名下載門羅幣挖礦指令碼 XMRig,如果使用者觀察到 PC 風扇高速運轉以及系統變卡,則需要檢查 VS Code 是否安裝了這些擴充套件,但即便刪除擴充套件應該也沒用,最好還是找個其他防毒軟體進行全盤查殺,畢竟 Microsoft Defender 無法檢測出來。
注:Microsoft Defender 是可以檢出門羅幣挖礦指令碼的,如果使用者檢查排除目錄並刪除已知的排除目錄再用 Defender 檢測應該可以發現挖礦指令碼。