近日,科技安全领域传来一则警报,知名科技博客bleepingcomputer揭露了一起针对微软Visual Studio Code(VSCode)扩展商店的攻击事件。安全专家在该平台上发现了九款表面看似开发工具,实则暗藏XMRig挖矿程序的恶意插件。
这些插件精心伪装成开发者常用的工具,如Discord Rich Presence、Roblox同步工具Rojo,以及多种编程语言的编译器,通过诱人的功能描述吸引用户安装。据统计,这些恶意插件的总安装量已超过30万次,尽管实际数字可能因恶意刷量而偏高。
网络安全公司ExtensionTotal的研究员Yuval Ronen是此次事件的发现者之一。他指出,这些插件不仅伪装得极具迷惑性,而且发布日期统一标注为2025年4月4日,显然是为了掩盖其真实上线时间。
一旦用户安装了这些插件,它们便会悄悄从外部服务器(asdf11xyz)下载并执行PowerShell脚本。该脚本的执行流程相当复杂且隐蔽:首先,它会在Windows系统中创建一个名为“OnedriveStartup”的定时任务,并将恶意启动项写入注册表,以确保在系统启动时自动运行。
紧接着,脚本会关闭Windows更新服务,并将工作目录添加到杀毒软件的排除列表中,以降低被检测到的风险。若当前用户权限不足,脚本还会通过仿冒系统程序及劫持关键系统文件(如MLANG.dll)的方式,尝试提升权限。
最终,脚本会解码一个base64格式的Launcher.exe文件,并连接到二级服务器(myaunetsu)下载并运行XMRig挖矿程序。这一连串的操作,使得攻击者能够在用户不知情的情况下,利用受害者的计算机资源秘密开采以太坊和门罗币。
值得注意的是,安全专家在分析攻击者服务器时,还发现了一个名为/npm/的目录。这一发现引发了业界对于Node.js包平台可能遭受类似攻击的担忧。然而,截至目前,尚未在NPM平台上发现与此次事件相关的恶意文件。
ExtensionTotal公司已及时将此事报告给微软,但遗憾的是,在报道发布时,涉事的恶意插件仍未被下架。因此,安全专家强烈建议所有可能受影响的VSCode用户立即卸载这些插件,并手动删除相关的注册表项、定时任务以及C:ProgramDataLauncher目录,以防止攻击者继续利用这些恶意插件进行挖矿活动。
此次事件再次凸显了网络安全的重要性,尤其是在开发者社区中。随着技术的不断发展,攻击者的手段也日益狡猾和隐蔽。因此,保持警惕、及时更新安全补丁、以及定期扫描和清理系统,成为了每位开发者不可或缺的安全习惯。
同时,对于平台方而言,加强扩展商店的审核机制、提高安全检测能力、以及及时响应和处理安全事件,也是保障用户安全、维护平台声誉的重要举措。
