VSCode の悪意のある拡張機能: Windows に暗号通貨マイナーをインストールするための新しい攻撃ベクトル

Visual Studio Code、または単に VSCode は、世界中のプログラマーに人気のツールの 1 つになりました。 その汎用性と拡張機能による機能追加の可能性は、特に魅力的です。。しかし、まさにこのオープン性こそが、ユーザーの信頼を悪用するサイバー脅威の入り口となっているのです。

ここ数日で、いくつかのことが明らかになりました。 公式 VSCode マーケットプレイスには悪意のあるコードを隠す 9 つの拡張機能があります。これらは開発体験を向上させることを目的とした正当なユーティリティのように見えますが、実際には コンピューターのリソースを密かに悪用するように設計された暗号通貨マイニング ソフトウェアでシステムを感染させます。。この発見は開発者コミュニティの間で懸念を引き起こし、この種のプラットフォームに対するより厳格な監視の必要性を浮き彫りにしました。

VSCode マーケットプレイスにおける侵害された拡張機能

この発見は、ExtensionTotalプラットフォームの研究者であるYuval Ronen氏によってなされた。同氏は、VSCodeのMicrosoftポータルで利用可能な一連の拡張機能が インストール後に隠しコードが有効化されました。このコードにより、Monero や Ethereum などの違法な暗号通貨マイニング操作で使用される XMRig 暗号通貨マイナーをバックグラウンドでダウンロードしてインストールする PowerShell スクリプトの実行が可能になりました。

たくさん 影響を受けるパッケージは4年2025月XNUMX日にリリースされました、すでに制限なくどのユーザーでもインストール可能でした。拡張機能 これらは便利なツールとして紹介されており、言語コンパイラに関連するものもあれば、人工知能や開発者ユーティリティに関連するものもありました。。報告された拡張機能の完全なリストは次のとおりです。

• VSCode の Discord リッチプレゼンス – Mark H 著
• 赤 – Roblox Studio Sync – evaera 作
• Solidity コンパイラ – VSCode 開発者
• クロード・AI – マーク・H
• Golang コンパイラ – Mark H 著
• VSCode 用 ChatGPT エージェント – Mark H 著
• HTML 難読化ツール – Mark H 著
• Python 難読化ツール – Mark H 著
• VSCode 用 Rust コンパイラ – Mark H 著

これらの拡張機能のいくつかは 驚くほど高い退院率があった;たとえば、「Discord Rich Presence」は 189.000 件以上のインストール数を示しましたが、「Rojo – Roblox Studio Sync」は約 117.000 件でした。多くのサイバーセキュリティの専門家は、 これらの数字は、人気があるように見せるために人為的に誇張されたものである可能性があります。 そして、より多くの無防備なユーザーを引き付けます。

公表された時点では、 拡張機能は引き続きマーケットプレイスで利用可能これにより、マイクロソフトはセキュリティ警告に即座に対応しなかったとして批判されることになった。これらが公式ソースからのインストールであったという事実は、問題をさらに微妙なものにしています。

攻撃の仕組み: 悪意のある拡張機能が使用する手法

拡張機能がインストールされるとすぐに感染プロセスが始まります。 その時点で、外部アドレス https://asdfqq(.)xyz からダウンロードされた PowerShell スクリプトが実行されます。。このスクリプトは、マイナーが影響を受けたコンピュータ内に巣を作ることを可能にするいくつかの秘密のアクションを実行する役割を担います。

スクリプトが最初に行うことの一つは 悪意のある拡張機能が偽装しようとしていた実際の拡張機能をインストールする。これは、機能の違いに気付いたユーザーが疑念を抱かないようにするためのものです。一方、コードはバックグラウンドで実行され続け、保護手段を無効にし、暗号通貨マイナーが検知されずに動作できるようにします。

スクリプトの最も注目すべきアクションは次のとおりです。

• スケジュールされたタスクの作成 「OnedriveStartup」のような正当な名前に偽装されています。
• 悪意のあるコマンドの挿入 オペレーティング システム レジストリ再起動後も永続性が確保されます。
• 基本的なセキュリティサービスの無効化Windows Update や Windows Medic などが含まれます。
• マイナーのディレクトリを Windows Defender 除外リスト.

さらに、攻撃が成功しなかった場合は 管理者権限 実行時には、偽の MLANG.dll ファイルを介して「DLL ハイジャック」と呼ばれる手法が使用されます。この戦術により、ComputerDefaults.exe などの正当なシステム実行可能ファイルを模倣して悪意のあるバイナリを実行し、マイナーのインストールを完了するために必要な権限レベルを付与できるようになります。

システムが侵害されると、 サイレント採掘作業 ユーザーが簡単に気付かないうちに CPU リソースを消費する暗号通貨。リモート サーバーは「/npm/」などのディレクトリをホストしていることも確認されており、このキャンペーンが NPM などの他のポータルに拡大している可能性があるという疑いが生じています。しかし、これまでのところ、そのプラットフォーム上で具体的な証拠は見つかっていない。

これらの拡張機能をインストールした場合の対処方法

あなたやあなたのチームの誰かが疑わしい拡張機能をインストールした場合、 職場環境からそれらを排除することが最優先事項である。スクリプトによって実行されるアクションの多くは永続的であり、拡張機能を削除した後も残るため、エディターからアンインストールするだけでは不十分です。

次の手順に従うのが最適です。

• スケジュールされたタスクを手動で削除する 「OnedriveStartup」として。
• 疑わしいエントリを削除する Windowsのレジスタ マルウェアに関連する。
• 影響を受けたディレクトリを確認してクリーンアップする特に除外リストに追加されたユーザー。
• 実施 最新のウイルス対策ツールによるフルスキャン 異常な動作を検出する高度なソリューションの使用を検討してください。

そして何よりも、迅速に行動してください。主な被害はシステムリソースの不正使用（高消費、速度低下、過熱など）ですが、 攻撃者が他のバックドアを開いた可能性も否定できない。.

このエピソードでは、公式の VSCode マーケットプレイスのように確立されたプラットフォームであっても、開発環境で信頼を悪用することがいかに簡単であるかを強調しました。したがって、ユーザーには 拡張機能をインストールする前に、そのソースを慎重に確認してください。検証済みのユーザーベースを持つパッケージを優先し、不明な開発者による新しいパッケージは避けてください。この種の悪意あるキャンペーンの急増は、憂慮すべき現実を示しています。これまではデフォルトで安全だと考えられていた開発環境が、 攻撃の媒介にもなり得る 堅牢な検証および監視プロトコルが適用されない場合。現時点では、プラットフォームプロバイダーと開発者自身の両方に責任があり、両者は警戒を怠ってはなりません。