对开发者的警告:远离这 10 个 VSCode 扩展
周一刚刚开始时,安装加密矿工的恶意扩展程序就被发布了。
使用微软 Visual Studio Code (VSCode) 编辑器的开发者被警告删除或至少远离 10 个新发布的扩展/插件,因为这些扩展会触发加密矿工的安装。
该警告 来自 ExtensionTotal 的研究人员,他们表示,自 4 月 4 日在微软的 Visual Studio Code 市场上发布以来,可能已有多达 100 万个此类恶意扩展程序被安装,这些扩展程序伪装成流行的开发工具。然而,研究人员也怀疑威胁行为者可能夸大了下载数量。
无论如何,一旦安装,扩展程序就会下载并执行 PowerShell 加载程序,该加载程序建立持久性、禁用安全服务并从远程命令和控制 (C2) 服务器部署 XMRig 加密矿工。
这是通过在GitHub、npm等网站上植入虚假工具来诱骗应用程序和 Web 开发人员下载恶意软件的一系列尝试中的最新一次。
加拿大一家事件响应公司的负责人表示,ExtensionTotal 的报告描述了一种“经典”的第三方供应链攻击,这种攻击会在应用程序中设置后门。
DigitalDefence 首席执行官罗伯特·贝格斯 (Robert Beggs) 表示说:“这并不是一次复杂的攻击。”
他向人们补充说,开发者的计算机上应该有多层防御措施,以防止受到损害:例如,Microsoft Defender 应该发出弹出警告,提示 Windows 注册表即将被更改,或者安全防御措施正在被禁用。
他还说,问题在于“开发人员以禁用安全控制”和忽略此类警告而闻名。这是因为他们的重点是确保他们正在开发的应用程序能够按预期运行。
他说,这就是为什么首席安全官和首席信息官应该确保应用程序开发人员在与生产网络不同的网络上工作。
微软公司的发言人表示: “我们已经删除了这些扩展程序,并且该发行商已被 VS Marketplace 屏蔽。用户不需要采取任何行动。”
但已经安装或使用这些扩展的开发者需要注意,必要时应该删除它们。
ExtensionTotal 在对每款恶意工具的分析中指出,一个值得警惕的迹象是发布者没有验证其列出的域名所有权。研究人员表示:“发布者验证是一种很好的做法,可以确保发布者的身份与其声称的一致。然而,VSCode 的发布者验证流程不够严谨。”
这 10 个恶意扩展程序及其发布者分别是:
- Prettier – VSCode 代码(由 Prettier 提供);
- Discord Rich Presence for VS Code(由 Mark H 开发);
- Rojo – Roblox Studio Sync(由 evaera 开发)
- Solidity 编译器(由 VSCode 开发人员提供);
- Claude AI(作者:Mark H)
- Golong 编译器(由 Mark H 编写);
- ChatGPT Agent for VSCode(由 Mark H 开发);
- HTML 混淆器 (由 Mark H 编写);
- VSCode 的 Python 混淆器(由 Mark H 编写);
- VSCode 的 Rust 编译器(由 Mark H 编写)。
该报告称,尽管这些扩展程序以不同的作者姓名发布,但它们共享相同的代码并与相同的 C2 服务器通信以下载和执行相同的有效负载。
这些恶意扩展程序之所以难以被用户初步发现,是因为所谓的实用程序下载后,它会尝试安装合法的扩展程序。这样一来,用户仍然能够获得他们期望的工具。
报告称,PowerShell 脚本会尝试以管理员权限运行恶意负载。如果没有适当的权限,该脚本会尝试创建另一个 System32 目录,并将 ComputerDefaults.exe 文件复制到该目录。然后,该脚本会创建名为 MLANG.dll 的恶意 DLL,并尝试使用 ComputerDefaults 可执行文件执行该 DLL。
报告还称道,PowerShell脚本包含DLL文件和木马可执行文件,这些文件以基本的base64编码字符串形式存在。它会解码木马,并将其以Launcher.exe的形式写入到它自己创建的目录中,而这个目录已被Windows Defender排除在监控范围之外。
Launcher.exe 与另一个 C2 服务器 myaunet[.]su 通信,下载并执行用于挖掘门罗币的 XMRig 工具。
当被问及有多少恶意扩展程序进入 VSC Marketplace 时,ExtensionTotal 首席技术官 Idan Dardikman 表示,他的公司每个月都会检测到一些。“由于安全控制措施有限,而且暴露率高,VSC Marketplace 对威胁行为者来说极具吸引力,”他说道。
他说,最终用户应该坚持使用信誉良好的代码发布者,尽量减少安装的扩展,并在安装扩展之前使用可以分析扩展的工具。
编辑:万能的大雄
本文为 @ 场长 创作并授权 21CTO 发布,未经许可,请勿转载。
内容授权事宜请您联系 webmaster@21cto.com或关注 21CTO 公众号。
该文观点仅代表作者本人,21CTO 平台仅提供信息存储空间服务。
评论
