【安全资讯】恶意VSCode扩展感染Windows系统并植入加密货币矿工

概要：

近期，九款恶意VSCode扩展在微软的Visual Studio Code Marketplace上被发现，这些扩展伪装成合法的开发工具，实际上却在用户的计算机上植入了XMRig加密货币矿工，进行以太坊和门罗币的挖矿。这一事件引发了对开发环境安全性的广泛关注。

主要内容：

这些恶意扩展自2025年4月4日上线以来，已累计超过30万次安装，安装数量可能被人为夸大，以提升其合法性和吸引力。ExtensionTotal的研究人员Yuval Ronen发现，这些扩展在用户安装后，会从外部源下载并执行一个PowerShell脚本。该脚本的功能包括禁用安全防护、建立持久性、提升权限，并最终加载加密货币矿工。

具体而言，恶意脚本会创建一个伪装成“OnedriveStartup”的计划任务，并在Windows注册表中注入脚本，以确保恶意软件在系统启动时运行。此外，它还会关闭Windows Update等关键服务，并将其工作目录添加到Windows Defender的排除列表中，以避免被检测到。如果恶意软件未以管理员权限执行，它会伪装成系统二进制文件，通过DLL劫持提升权限并执行矿工载荷。

恶意软件的可执行文件以base64编码形式存在，PowerShell脚本会解码该文件并连接到一个远程服务器以下载和运行XMRig矿工。BleepingComputer发现，攻击者的远程服务器上还有一个/npm/目录，可能表明该活动在该软件包索引上也在进行。用户如安装了这些扩展，建议立即卸载并手动删除相关的矿工、计划任务、注册表项及恶意目录。