ExtensionTotal的安全研究人员YuvalRonen日前就发现10个新的恶意扩展程序,这些扩展程序冒充工具和AI扩展程序,实则会在安装后再安装XMRig,这是一个开源的门罗币挖矿程序,可以利用用户的CPU进行挖矿。
这些扩展程序名称为:
Prettier–CodeforVSCodebyPrettierTeam–48.6万次安装(注意其冒充Prettier–Codeformatter扩展)
DiscordRichPresenceforVSCode(by`MarkH`)–18.9万次安装
Rojo–RobloxStudioSync(by`evaera`)–11.7万次安装
SolidityCompiler(by`VSCodeDeveloper`)–1300次安装
ClaudeAI(by`MarkH`)
GolangCompiler(by`MarkH`)
ChatGPTAgentforVSCode(by`MarkH`)
HTMLObfuscator(by`MarkH`)
PythonObfuscatorforVSCode(by`MarkH`)
RustCompilerforVSCode(by`MarkH`)
研究人员已经向微软报告这些扩展程序,不过可能出于谨慎考虑避免再出现上次误封情况,这些扩展程序暂时还可以继续下载和安装,如果微软确定存在问题的话可以直接下架并封禁开发者账号,同时还会远程禁用用户已经安装的这些扩展程序。
分析显示这些扩展程序在被激活后会联系hxxp://asdf11.xyz(这个域名注册的也确实够随意)下载Powershell脚本并运行,值得注意的是这些恶意扩展的部分功能还能使用,确保安装的开发者不会发现什么异常。
下载脚本并运行后,脚本会创建一个名为OnedriveStartup的计划任务,也就是冒充OneDrive启动项,同时还在注册表里注入脚本确保名为Launcher.exe的启动器可以开机自启动。
接着这个恶意软件还会关闭WindowsUpdate等服务、将其目录添加到MicrosoftDefender排除项里,也就是即便后面微软更新病毒库也会将其排除在查杀列表外。
最后脚本会通过hxxp://myaunet.su域名下载门罗币挖矿脚本XMRig,如果用户观察到PC风扇高速运转以及系统变卡,则需要检查VSCode是否安装了这些扩展,但即便删除扩展应该也没用,最好还是找个其他杀毒软件进行全盘查杀,毕竟MicrosoftDefender无法检测出来。
注:MicrosoftDefender是可以检出门罗币挖矿脚本的,如果用户检查排除目录并删除已知的排除目录再用Defender检测应该可以发现挖矿脚本。