近日，科技安全領(lǐng)域傳來一則警報，知名科技博客bleepingcomputer揭露了一起針對微軟Visual Studio Code（VSCode）擴展商店的攻擊事件。安全專家在該平臺上發(fā)現(xiàn)了九款表面看似開發(fā)工具，實則暗藏XMRig挖礦程序的惡意插件。

這些插件精心偽裝成開發(fā)者常用的工具，如Discord Rich Presence、Roblox同步工具Rojo，以及多種編程語言的編譯器，通過誘人的功能描述吸引用戶安裝。據(jù)統(tǒng)計，這些惡意插件的總安裝量已超過30萬次，盡管實際數(shù)字可能因惡意刷量而偏高。

網(wǎng)絡(luò)安全公司ExtensionTotal的研究員Yuval Ronen是此次事件的發(fā)現(xiàn)者之一。他指出，這些插件不僅偽裝得極具迷惑性，而且發(fā)布日期統(tǒng)一標(biāo)注為2025年4月4日，顯然是為了掩蓋其真實上線時間。

一旦用戶安裝了這些插件，它們便會悄悄從外部服務(wù)器（asdf11xyz）下載并執(zhí)行PowerShell腳本。該腳本的執(zhí)行流程相當(dāng)復(fù)雜且隱蔽：首先，它會在Windows系統(tǒng)中創(chuàng)建一個名為“OnedriveStartup”的定時任務(wù)，并將惡意啟動項寫入注冊表，以確保在系統(tǒng)啟動時自動運行。

緊接著，腳本會關(guān)閉Windows更新服務(wù)，并將工作目錄添加到殺毒軟件的排除列表中，以降低被檢測到的風(fēng)險。若當(dāng)前用戶權(quán)限不足，腳本還會通過仿冒系統(tǒng)程序及劫持關(guān)鍵系統(tǒng)文件（如MLANG.dll）的方式，嘗試提升權(quán)限。

最終，腳本會解碼一個base64格式的Launcher.exe文件，并連接到二級服務(wù)器（myaunetsu）下載并運行XMRig挖礦程序。這一連串的操作，使得攻擊者能夠在用戶不知情的情況下，利用受害者的計算機資源秘密開采以太坊和門羅幣。

值得注意的是，安全專家在分析攻擊者服務(wù)器時，還發(fā)現(xiàn)了一個名為/npm/的目錄。這一發(fā)現(xiàn)引發(fā)了業(yè)界對于Node.js包平臺可能遭受類似攻擊的擔(dān)憂。然而，截至目前，尚未在NPM平臺上發(fā)現(xiàn)與此次事件相關(guān)的惡意文件。

ExtensionTotal公司已及時將此事報告給微軟，但遺憾的是，在報道發(fā)布時，涉事的惡意插件仍未被下架。因此，安全專家強烈建議所有可能受影響的VSCode用戶立即卸載這些插件，并手動刪除相關(guān)的注冊表項、定時任務(wù)以及C:ProgramDataLauncher目錄，以防止攻擊者繼續(xù)利用這些惡意插件進行挖礦活動。

此次事件再次凸顯了網(wǎng)絡(luò)安全的重要性，尤其是在開發(fā)者社區(qū)中。隨著技術(shù)的不斷發(fā)展，攻擊者的手段也日益狡猾和隱蔽。因此，保持警惕、及時更新安全補丁、以及定期掃描和清理系統(tǒng)，成為了每位開發(fā)者不可或缺的安全習(xí)慣。

同時，對于平臺方而言，加強擴展商店的審核機制、提高安全檢測能力、以及及時響應(yīng)和處理安全事件，也是保障用戶安全、維護平臺聲譽的重要舉措。