近日，科技安全領(lǐng)域傳來(lái)一則警報(bào)，知名科技博客bleepingcomputer揭露了一起針對(duì)微軟Visual Studio Code（VSCode）擴(kuò)展商店的攻擊事件。安全專家在該平臺(tái)上發(fā)現(xiàn)了九款表面看似開發(fā)工具，實(shí)則暗藏XMRig挖礦程序的惡意插件。

這些插件精心偽裝成開發(fā)者常用的工具，如Discord Rich Presence、Roblox同步工具Rojo，以及多種編程語(yǔ)言的編譯器，通過(guò)誘人的功能描述吸引用戶安裝。據(jù)統(tǒng)計(jì)，這些惡意插件的總安裝量已超過(guò)30萬(wàn)次，盡管實(shí)際數(shù)字可能因惡意刷量而偏高。

網(wǎng)絡(luò)安全公司ExtensionTotal的研究員Yuval Ronen是此次事件的發(fā)現(xiàn)者之一。他指出，這些插件不僅偽裝得極具迷惑性，而且發(fā)布日期統(tǒng)一標(biāo)注為2025年4月4日，顯然是為了掩蓋其真實(shí)上線時(shí)間。

一旦用戶安裝了這些插件，它們便會(huì)悄悄從外部服務(wù)器（asdf11xyz）下載并執(zhí)行PowerShell腳本。該腳本的執(zhí)行流程相當(dāng)復(fù)雜且隱蔽：首先，它會(huì)在Windows系統(tǒng)中創(chuàng)建一個(gè)名為“OnedriveStartup”的定時(shí)任務(wù)，并將惡意啟動(dòng)項(xiàng)寫入注冊(cè)表，以確保在系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行。

緊接著，腳本會(huì)關(guān)閉Windows更新服務(wù)，并將工作目錄添加到殺毒軟件的排除列表中，以降低被檢測(cè)到的風(fēng)險(xiǎn)。若當(dāng)前用戶權(quán)限不足，腳本還會(huì)通過(guò)仿冒系統(tǒng)程序及劫持關(guān)鍵系統(tǒng)文件（如MLANG.dll）的方式，嘗試提升權(quán)限。

最終，腳本會(huì)解碼一個(gè)base64格式的Launcher.exe文件，并連接到二級(jí)服務(wù)器（myaunetsu）下載并運(yùn)行XMRig挖礦程序。這一連串的操作，使得攻擊者能夠在用戶不知情的情況下，利用受害者的計(jì)算機(jī)資源秘密開采以太坊和門羅幣。

值得注意的是，安全專家在分析攻擊者服務(wù)器時(shí)，還發(fā)現(xiàn)了一個(gè)名為/npm/的目錄。這一發(fā)現(xiàn)引發(fā)了業(yè)界對(duì)于Node.js包平臺(tái)可能遭受類似攻擊的擔(dān)憂。然而，截至目前，尚未在NPM平臺(tái)上發(fā)現(xiàn)與此次事件相關(guān)的惡意文件。

ExtensionTotal公司已及時(shí)將此事報(bào)告給微軟，但遺憾的是，在報(bào)道發(fā)布時(shí)，涉事的惡意插件仍未被下架。因此，安全專家強(qiáng)烈建議所有可能受影響的VSCode用戶立即卸載這些插件，并手動(dòng)刪除相關(guān)的注冊(cè)表項(xiàng)、定時(shí)任務(wù)以及C:ProgramDataLauncher目錄，以防止攻擊者繼續(xù)利用這些惡意插件進(jìn)行挖礦活動(dòng)。

此次事件再次凸顯了網(wǎng)絡(luò)安全的重要性，尤其是在開發(fā)者社區(qū)中。隨著技術(shù)的不斷發(fā)展，攻擊者的手段也日益狡猾和隱蔽。因此，保持警惕、及時(shí)更新安全補(bǔ)丁、以及定期掃描和清理系統(tǒng)，成為了每位開發(fā)者不可或缺的安全習(xí)慣。

同時(shí)，對(duì)于平臺(tái)方而言，加強(qiáng)擴(kuò)展商店的審核機(jī)制、提高安全檢測(cè)能力、以及及時(shí)響應(yīng)和處理安全事件，也是保障用戶安全、維護(hù)平臺(tái)聲譽(yù)的重要舉措。