開發(fā)者請立即清理：微軟 VSCode 擴展商店發(fā)現(xiàn) 9 款挖礦惡意插件，已安裝超 30 萬次

IT之家 4 月 8 日消息，科技媒體 bleepingcomputer 昨日（4 月 7 日）發(fā)布博文，報道稱安全專家在微軟 VSCode 擴展商店中，發(fā)現(xiàn)了 9 款偽裝成開發(fā)工具的惡意插件。這些插件通過植入 XMRig 挖礦程序，秘密開采以太坊和門羅幣。

網(wǎng)絡(luò)安全公司 ExtensionTotal 研究員 Yuval Ronen 發(fā)現(xiàn)，微軟 VSCode 擴展商店中 9 款插件實為挖礦木馬。這些插件偽裝成熱門開發(fā)工具，包括 Discord Rich Presence（18.9 萬次安裝）、Roblox 同步工具 Rojo（11.7 萬次安裝）及多款編程語言編譯器。IT之家附上列表如下：

• Discord Rich Presence for VS Code (by `Mark H`)

• Rojo – Roblox Studio Sync (by `evaera`)

• Solidity Compiler (by `VSCode Developer`)

• Claude AI (by `Mark H`)

• Golang Compiler (by `Mark H`)

• ChatGPT Agent for VSCode (by `Mark H`)

• HTML Obfuscator (by `Mark H`)

• Python Obfuscator for VSCode (by `Mark H`)

• Rust Compiler for VSCode (by `Mark H`)

所有插件均標(biāo)注為 2025 年 4 月 4 日發(fā)布，總安裝量已突破 30 萬次，但實際數(shù)據(jù)可能被惡意刷高以吸引更多用戶。

安裝后，插件會從外部服務(wù)器（asdf11xyz）拉取 PowerShell 腳本。該腳本分三步實施攻擊：首先創(chuàng)建名為 "OnedriveStartup" 的定時任務(wù)，并將惡意啟動項寫入 Windows 注冊表。

隨后關(guān)閉 Windows 更新服務(wù)，并將工作目錄加入殺毒軟件排除列表；若未獲管理員權(quán)限，則通過仿冒 ComputerDefaults.exe 程序及劫持 MLANG.dll 實現(xiàn)提權(quán)。最終，腳本解碼 base64 格式的 Launcher.exe，連接二級服務(wù)器（myaunetsu）下載 XMRig 礦工程序。

值得注意的是，攻擊者服務(wù)器存在 / npm / 目錄，暗示其可能同時針對 Node.js 包平臺發(fā)起攻擊，但目前尚未在 NPM 發(fā)現(xiàn)相關(guān)惡意文件。

ExtensionTotal 已向微軟報告此事，但截至發(fā)稿涉事插件仍未下架，安全專家建議受影響用戶立即卸載插件，并手動刪除相關(guān)注冊表項、定時任務(wù)及 C:\ProgramData\Launcher 目錄。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。