ITCOW牛新网 4月8日消息,网络安全公司ExtensionTotal近日揭露,微软VSCode扩展商店中潜伏着9款携带加密货币挖矿程序的恶意插件。这些插件伪装成热门开发工具,总安装量已突破30万次,严重威胁开发者设备安全。
据安全专家Yuval Ronen分析,这些恶意插件均标注为2025年4月4日发布,包括Discord Rich Presence、Roblox同步工具Rojo等热门扩展。安装后,插件会从外部服务器下载PowerShell脚本,通过创建定时任务、禁用系统防护机制等手段,最终植入XMRig矿工程序。攻击者还尝试通过伪造系统文件获取管理员权限,确保挖矿程序持续运行。涉及插件附列表如下:
- Discord Rich Presence for VS Code (by
Mark H) - Rojo – Roblox Studio Sync (by
evaera) - Solidity Compiler (by
VSCode Developer) - Claude AI (by
Mark H) - Golang Compiler (by
Mark H) - ChatGPT Agent for VSCode (by
Mark H) - HTML Obfuscator (by
Mark H) - Python Obfuscator for VSCode (by
Mark H) - Rust Compiler for VSCode (by
Mark H)
据ITCOW牛新网了解,攻击者的服务器目录结构显示,其可能还计划对Node.js的NPM平台发起类似攻击。虽然目前尚未在NPM发现恶意包,但安全专家提醒开发者保持警惕。ExtensionTotal已向微软报告此事,但截至发稿相关插件仍未下架。
安全团队建议受影响用户立即采取以下措施:
- 卸载所有涉事插件
- 手动删除C:\ProgramData\Launcher目录
- 检查并清除注册表中的恶意启动项
- 移除名为”OnedriveStartup”的定时任务
网络安全专家强调,开发者应仅从官方认证渠道安装扩展,并定期检查系统资源占用情况,防范类似隐蔽挖矿攻击。