Сразу девять расширений в VSCode Marketplace выдавали себя за настоящие инструменты разработки и заражали машины пользователей криптомайнером XMRig для добычи Monero.
Исследователь ExtensionTotal Юваль Ронен (Yuval Ronen) девять вредоносных расширений VSCode, опубликованных в магазине Microsoft 4 апреля 2025 года.
При этом, согласно официальной статистике, всего за несколько дней расширения успели набрать более 300 000 установок. Исследователь полагает, что эти цифры искусственно завышены, чтобы придать расширениям видимость легитимности и популярности.
Ниже перечислены названия пакетов со встроенным майнером:
Вредоносный PowerShell-скрипт выполнял множество функций: отключал защиту, закреплялся в системе, повышал привилегии и в итоге скачивал на машину криптовалютный майнер.
Так, скрипт создавал запланированную задачу, замаскированную под OnedriveStartup и вносил малварь в реестр Windows, чтобы обеспечить запуск при старте системы. Затем он отключал такие службы, как Windows Update и Update Medic, и добавлял свой рабочий каталог в список исключений Windows Defender, чтобы избежать обнаружения.
Если малварь запускалась без прав администратора, она имитировала системный бинарник (ComputerDefaults.exe) и выполняла DLL hijacking с помощью вредоносной MLANG.dll, чтобы повысить свои привилегии и выполнить полезную нагрузку.
Исполняемый файл вредоноса декодировался PowerShell-скриптом и подключался к управляющему серверу по адресу myaunet[.]su для загрузки и запуска XMRig.
Как отмечает издание , на удаленном сервере злоумышленников также присутствует папка /npm/, что может свидетельствовать о том, что эта кампания активна и в npm, хотя прямых доказательств этого пока нет.
Всем, кто установил одно из девяти вредоносных расширений, рекомендуется немедленно удалить их, а затем вручную найти и удалить из системы майнер, запланированные задачи, ключ реестра, а также каталог с малварью.
Исследователь ExtensionTotal Юваль Ронен (Yuval Ronen) девять вредоносных расширений VSCode, опубликованных в магазине Microsoft 4 апреля 2025 года.
При этом, согласно официальной статистике, всего за несколько дней расширения успели набрать более 300 000 установок. Исследователь полагает, что эти цифры искусственно завышены, чтобы придать расширениям видимость легитимности и популярности.
Ниже перечислены названия пакетов со встроенным майнером:
- Discord Rich Presence для VS Code (автор Mark H), 189 000 установок;
- Rojo - Roblox Studio Sync (автор evaera), 117 000 установок;
- Solidity Compiler (автор VSCode Developer), 1300 установок;
- Claude AI (автор Mark H);
- Golang Compiler (автор Mark H);
- ChatGPT Agent for VSCode (автор Mark H);
- HTML Obfuscator (автор Mark H);
- Python Obfuscator for VSCode (автор Mark H);
- Rust Compiler for VSCode (автор Mark H).
Вредоносный PowerShell-скрипт выполнял множество функций: отключал защиту, закреплялся в системе, повышал привилегии и в итоге скачивал на машину криптовалютный майнер.
Так, скрипт создавал запланированную задачу, замаскированную под OnedriveStartup и вносил малварь в реестр Windows, чтобы обеспечить запуск при старте системы. Затем он отключал такие службы, как Windows Update и Update Medic, и добавлял свой рабочий каталог в список исключений Windows Defender, чтобы избежать обнаружения.
Если малварь запускалась без прав администратора, она имитировала системный бинарник (ComputerDefaults.exe) и выполняла DLL hijacking с помощью вредоносной MLANG.dll, чтобы повысить свои привилегии и выполнить полезную нагрузку.
Исполняемый файл вредоноса декодировался PowerShell-скриптом и подключался к управляющему серверу по адресу myaunet[.]su для загрузки и запуска XMRig.
Как отмечает издание , на удаленном сервере злоумышленников также присутствует папка /npm/, что может свидетельствовать о том, что эта кампания активна и в npm, хотя прямых доказательств этого пока нет.
Всем, кто установил одно из девяти вредоносных расширений, рекомендуется немедленно удалить их, а затем вручную найти и удалить из системы майнер, запланированные задачи, ключ реестра, а также каталог с малварью.
