Сразу девять расширений в VSCode Marketplace выдавали себя за настоящие инструменты разработки и заражали машины пользователей криптомайнером XMRig для добычи Monero.
Исследователь ExtensionTotal Юваль Ронен (Yuval Ronen) обнаружил девять вредоносных расширений VSCode, опубликованных в магазине Microsoft 4 апреля 2025 года. При этом, согласно официальной статистике, всего за несколько дней расширения успели набрать более 300 000 установок. Исследователь полагает, что эти цифры искусственно завышены, чтобы придать расширениям видимость легитимности и популярности.
Ниже перечислены названия пакетов со встроенным майнером:
- Discord Rich Presence для VS Code (автор Mark H), 189 000 установок;
- Rojo - Roblox Studio Sync (автор evaera), 117 000 установок;
- Solidity Compiler (автор VSCode Developer), 1300 установок;
- Claude AI (автор Mark H);
- Golang Compiler (автор Mark H);
- ChatGPT Agent for VSCode (автор Mark H);
- HTML Obfuscator (автор Mark H);
- Python Obfuscator for VSCode (автор Mark H);
- Rust Compiler for VSCode (автор Mark H).
После установки и активации вредоносные расширения извлекали PowerShell-скрипт из внешнего источника по адресу https://asdf11[.]xyz/ и выполняли его. Также в систему жертвы устанавливалось настоящее расширение, под которое маскировалась малварь, чтобы у пользователя не возникло подозрений.
Вредоносный PowerShell-скрипт выполнял множество функций: отключал защиту, закреплялся в системе, повышал привилегии и в итоге скачивал на машину криптовалютный майнер.
Так, скрипт создавал запланированную задачу, замаскированную под OnedriveStartup и вносил малварь в реестр Windows, чтобы обеспечить запуск при старте системы. Затем он отключал такие службы, как Windows Update и Update Medic, и добавлял свой рабочий каталог в список исключений Windows Defender, чтобы избежать обнаружения.
Если малварь запускалась без прав администратора, она имитировала системный бинарник (ComputerDefaults.exe) и выполняла DLL hijacking с помощью вредоносной MLANG.dll, чтобы повысить свои привилегии и выполнить полезную нагрузку.
Исполняемый файл вредоноса декодировался PowerShell-скриптом и подключался к управляющему серверу по адресу myaunet[.]su для загрузки и запуска XMRig.
Как отмечает издание Bleeping Computer, на удаленном сервере злоумышленников также присутствует папка /npm/, что может свидетельствовать о том, что эта кампания активна и в npm, хотя прямых доказательств этого пока нет.
Всем, кто установил одно из девяти вредоносных расширений, рекомендуется немедленно удалить их, а затем вручную найти и удалить из системы майнер, запланированные задачи, ключ реестра, а также каталог с малварью.
