HackerNews 编译，转载请注明出处： 一个名为 “TigerJack” 的威胁行为者持续针对开发者发起攻击，其手段是在微软 Visual Code（VSCode）应用商店和 OpenVSX 注册表上发布恶意扩展程序，以窃取加密货币并植入后门。 此前，有两款恶意扩展程序在 VSCode 平台被下载 1.7 万次后遭下架，但目前仍在 OpenVSX 平台上架。此外，TigerJack 还会通过新账号在 VSCode 应用商店以新名称重新发布相同的恶意代码。 OpenVSX 是一个由社区维护的开源扩展程序市场，是微软平台的替代选择，提供一个独立、不绑定供应商的注册表。同时，它也是多款热门 VSCode 兼容编辑器的默认扩展市场 —— 这些编辑器因技术或法律限制无法使用 VSCode 官方市场，包括 Cursor 和 Windsurf。 攻击活动与恶意扩展程序细节 该攻击活动由 Koi Security 的研究人员发现。自今年年初以来，攻击者已分发了至少 11 款恶意 VSCode 扩展程序。 研究人员表示，此前从 VSCode 应用商店下架的两款恶意扩展程序分别名为 “C++ Playground” 和 “HTTP Format”，如今已通过新账号重新上架该平台。 C++ Playground 的恶意行为这款扩展程序启动后，会为 C++ 文件注册一个监听器（“onDidChangeTextDocument”），将源代码泄露到多个外部端点。该监听器会在代码编辑后约 500 毫秒触发，以近实时的方式捕获键盘输入。 HTTP Format 的恶意行为据 Koi Security 介绍，这款扩展程序虽能实现宣传中的功能（格式化 HTTP 内容），但会在后台秘密运行 CoinIMP 加密货币挖矿程序。它通过硬编码的凭证和配置，利用主机的处理能力进行挖矿，且未对资源使用设置任何限制，会占用主机全部计算能力。 第三类高风险恶意扩展程序TigerJack 还推出了另一类恶意扩展程序（包括 cppplayground、httpformat、pythonformat），它们会从一个硬编码地址（ab498.pythonanywhere.com/static/in4.js）获取 JavaScript 代码，并在主机上执行。该远程地址每 20 分钟会被轮询一次，这使得攻击者无需更新扩展程序，就能实现任意代码执行。 研究人员指出，与源代码窃取工具和挖矿程序不同，这类扩展程序的威胁性更强，因为它们具备更广泛的功能。Koi Security 表示：“TigerJack 无需更新扩展程序，就能动态推送任意恶意载荷 —— 包括窃取凭证和 API 密钥、部署勒索软件、将被入侵的开发者设备用作进入企业网络的入口、在项目中植入后门，或实时监控用户活动。” 平台响应与安全建议 研究人员提到，TigerJack 是一个 “协调有序的多账号运营团伙”。该团伙会伪装成独立开发者，通过创建 GitHub 仓库、设计品牌标识、列出详细功能、使用与合法工具相似的扩展名称等方式，营造可信的假象。 Koi Security 已将相关发现报告给 OpenVSX，但截至本文发布时，该注册表的维护方尚未回应，两款恶意扩展程序仍可下载。 研究人员建议，使用该平台获取软件的开发者，应仅从信誉良好、值得信赖的发布者处下载扩展程序。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在微软的 Visual Studio Code 市场中有九个 VSCode 扩展伪装成合法开发工具，同时感染用户设备，植入 XMRig 加密货币矿工以挖掘以太坊和门罗币。 Microsoft VSCode 是一款流行的代码编辑器，允许用户安装扩展以扩展程序的功能。这些扩展可以从微软的 VSCode 市场下载，这是一个供开发者查找和安装插件的在线中心。 ExtensionTotal 研究员 Yuval Ronen 发现了九个于 2025 年 4 月 4 日在微软门户上发布的 VSCode 扩展。 扩展名称： Discord Rich Presence for VS Code（开发者：Mark H）- 18.9 万次安装 Rojo – Roblox Studio Sync（开发者：evaera）- 11.7 万次安装 Solidity Compiler（开发者：VSCode Developer）- 1300 次安装 Claude AI（开发者：Mark H） Golang Compiler（开发者：Mark H） ChatGPT Agent for VSCode（开发者：Mark H） HTML Obfuscator（开发者：Mark H） Python Obfuscator for VSCode（开发者：Mark H） Rust Compiler for VSCode（开发者：Mark H） 市场数据显示，这些扩展自 4 月 4 日以来已累计超过 30 万次安装。这些数字可能是人为虚高的，目的是让扩展显得更合法和更受欢迎，从而吸引更多用户安装。 ExtensionTotal 表示已向微软报告了这些恶意扩展，但截至本文撰写时，它们仍可在市场上找到。 VSCode 市场上的 Discord 主题扩展 来源：BleepingComputer PowerShell 脚本安装 XMRig 矿工 当安装并激活后，恶意扩展会从外部源 ‘https://asdf11[.]xyz/’ 获取 PowerShell 脚本并执行。完成后，它还会安装其伪装的合法扩展，以避免用户产生怀疑。 下载 PowerShell 脚本的代码 来源：BleepingComputer 恶意 PowerShell 脚本执行多种功能，包括禁用防御、建立持久性、提升权限，最终加载加密货币矿工。 首先，它创建一个伪装为“OnedriveStartup”的计划任务，并在 Windows 注册表中注入脚本，以确保恶意软件（Launcher.exe）在系统启动时运行。 接下来，它关闭关键的 Windows 服务（如 Windows Update 和 Update Medic），并将工作目录添加到 Windows Defender 的排除列表中，以逃避检测。 如果恶意软件未以管理员权限执行，它会模仿系统二进制文件（ComputerDefaults.exe），并通过恶意 MLANG.dll 进行 DLL 劫持以提升权限并执行 Launcher.exe 有效载荷。 可执行文件以 base64 编码形式提供，PowerShell 脚本对其进行解码，以连接到二级服务器 myaunet[.]su 下载并运行 XMRig，这是一种门罗币加密货币矿工。 BleepingComputer 发现，威胁行为者的远程服务器上还有一个 /npm/ 文件夹，可能表明该活动也在该软件包索引上进行。然而，我们尚未在 NPM 平台上找到恶意文件。 威胁行为者服务器上的 NPM 目录 来源：BleepingComputer 如果您安装了 ExtensionTotal 报告中提到的九个扩展中的任何一个，您应立即卸载它们，然后手动定位并删除加密货币矿工、计划任务、注册表键和恶意软件目录。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，Visual Studio Code（VSCode） Marketplace上存在两个恶意扩展，它们会向用户部署处于开发阶段的勒索软件。 这两个名为“ahban.shiba”和“ahban.cychelloworld”的扩展，已被市场维护人员下架。 据ReversingLabs称，这两个扩展包含代码，旨在调用PowerShell命令，从命令与控制（C2）服务器获取PowerShell脚本负载并执行。 该负载被怀疑是处于早期开发阶段的勒索软件，仅加密受害者Windows桌面名为“testShiba”文件夹中的文件。 文件加密后，PowerShell负载显示消息：“您的文件已被加密。向ShibaWallet支付1个柴犬币以恢复它们。” 然而，没有向受害者提供其他说明或加密货币钱包地址，这进一步表明该恶意软件可能仍在开发中。 几个月前，软件供应链安全公司发现多个恶意扩展，其中一些伪装成Zoom，但具有从远程服务器下载未知第二阶段负载的功能。 上周，Socket详细描述了一个恶意Maven包，它伪装成scribejava-core OAuth库，每月15日秘密收集并泄露OAuth凭证，突出显示了旨在逃避检测的时间触发机制。 该库于2024年1月25日上传至Maven Central，目前仍可从该存储库下载。 “攻击者使用typoquatting——创建几乎相同的名称来欺骗开发人员添加恶意包，”安全研究员库什·潘迪亚说。“有趣的是，这个恶意包有六个依赖包。” “它们都是typoquatting合法包，但使用相同的groupId（io.github.leetcrunch），而不是真实的命名空间（com.github.scribejava）。” 采用这种方法的目的是提高恶意库的表面合法性，从而增加开发人员下载并在项目中使用它的可能性。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软就删除VSCode扩展一事向开发者致歉   2025年3月13日，微软在Visual Studio Marketplace中重新上架了“Material Theme – Free”和“Material Theme Icons – Free”两款VSCode扩展。此前，这两款扩展因被怀疑包含恶意代码而被下架，其开发者Mattia Astorino（别名“equinusocio”）也被平台封禁。 这两款扩展的安装量超过900万次，于2月因安全风险被下架。当时，微软表示，社区成员对扩展进行了深度安全分析，发现多处可疑迹象并报告给微软。微软安全研究人员确认了这一说法，并发现了更多可疑代码。 研究人员Amit Assaraf和Itay Kruk在使用AI扫描工具检查VSCode提交内容时，首次将这两款扩展标记为潜在恶意软件。他们认为，Material Theme的“release-notes.js”文件中存在代码执行能力且代码经过高度混淆，这引发了安全担忧。 然而，开发者Astorino对此表示反对，称问题出自在扩展中使用的一个自2016年以来就未更新的sanity.io依赖项，该依赖项用于显示发布说明。他指出，如果微软在下架前与他沟通，他可以在几秒钟内解决这一问题，而不是直接封禁他的账号。 Astorino表示，Material Theme扩展的混淆过程中无意中包含了sanity.io SDK客户端，其中包含了一些引用用户名或密码的字符串，但这些并非恶意代码，只是多年前构建过程中的一个错误。 3月12日，微软的Scott Hanselman在GitHub上向Astorino道歉，并恢复了他的开发者账号。他承认，微软在处理此事时过于仓促，导致了错误的结论。Hanselman还表示，Visual Studio Code Marketplace将更新其对混淆代码的政策，并改进扫描工具，以避免未来再次匆忙处理类似项目。 尽管如此，Amit Assaraf在接受采访时仍坚持认为，该扩展确实包含恶意代码，但他也承认开发者并无恶意意图。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软已从Visual Studio Marketplace移除了两款受欢迎的VSCode扩展：“Material Theme – Free”和“Material Theme Icons – Free”，原因是这些扩展据称包含恶意代码。 这两款扩展非常受欢迎，总下载量接近900万次，用户现在会在VSCode中收到提示，告知这些扩展已被自动禁用。 发布者马蒂亚·阿斯托里诺（网名equinusocio）在VSCode Marketplace上有多个扩展，总安装量超过1300万次。 关于这些扩展存在恶意软件的消息来自网络安全研究人员阿米特·阿萨拉夫和伊泰·克鲁克，他们在扫描VSCode恶意扩展方面具有专业技能。 在今天发布的一份报告中，研究人员表示他们在这些扩展中发现了可疑代码，并已将调查结果报告给微软。 “微软已从VS Code Marketplace移除了这两个扩展，并封禁了开发者。”一位微软员工在YCombinator的Hacker News上发布消息称，“社区成员对扩展进行了深入的安全分析，发现了多个表明存在恶意意图的危险信号，并将此报告给了我们。微软的安全研究人员证实了这些说法，并发现了更多可疑代码。” “我们已将发布者从VS Marketplace封禁，移除了其所有扩展，并从所有运行这些扩展的VS Code实例中卸载。为澄清，此次移除与版权/许可证无关，仅涉及潜在的恶意意图。” VSCode自动移除Material Theme扩展   研究人员告诉BleepingComputer，他们的专业扫描器检测到扩展代码中存在恶意活动。其中一位研究人员阿米特·阿萨拉夫表示，他们认为恶意代码是在扩展更新中引入的，这表明要么是通过依赖项的供应链攻击，要么是开发者的账户被入侵。   此外，他们解释称，主题应该是静态的JSON文件，不应执行任何代码，因此这种行为在他们的评估中被标记为可疑。 经BleepingComputer验证，主题中的“release-notes.js”文件包含高度混淆的JavaScript，这在开源软件中始终是一个危险信号。 “release-notes.js”文件中的高度混淆JavaScript 对代码的部分反混淆显示了对用户名和密码的多次引用。然而，由于文件仍然高度混淆，BleepingComputer无法确定这些引用的具体方式。 微软表示，他们将很快在VSMarketplace GitHub仓库中发布更多关于该扩展和任何检测到的恶意活动的详细信息。 扩展的开发者马蒂亚·阿斯托里诺（网名equinusocio）回应了关于扩展存在恶意软件的担忧，称问题是由于过时的Sanity.io依赖项“看起来被入侵”所致。 “亲爱的@gegtor，Material Theme从未包含任何有害内容。”阿斯托里诺在微软的VSMarketplace仓库中发布消息称，“我们自2016年以来使用了一个过时的sanity.io依赖项来从sanity headless CMS显示发布说明，这就是他们发现的唯一问题。” “该依赖项自2016年以来一直存在，并且通过了此后所有的检查，现在看起来被入侵了，但微软从未联系过我们要求移除它。他们直接下架了一切，导致数百万用户出现问题，并在VSCode中造成循环（是的，这是他们的错）。” “他们从未联系我们澄清就破坏了一切。移除旧依赖项只需30秒，但这似乎就是微软的行事方式。我们还提供了一个混淆的index.js文件，其中包含所有主题命令和逻辑。它被混淆是因为扩展现在是闭源的；然而，如果你删除它，扩展仍然可以使用纯JSON文件正常运行。” 在情况明朗并确定这些扩展是否恶意之前，建议从所有项目中移除以下内容： – equinusocio.moxer-theme – equinusocio.vsc-material-theme – equinusocio.vsc-material-theme-icons – equinusocio.vsc-community-material-theme – equinusocio.moxer-icons 随后，开发者阿斯托里诺在VSCode Marketplace上发布了一个名为“Fanny Themes”的“完全重写且没有任何依赖项”的扩展，但微软随后将其移除。 针对我们关于混淆的release-notes.js文件的问题，阿斯托里诺重申了他在GitHub上的说法，即一个@sanity依赖项被入侵，如果他收到通知，可以迅速移除。 “发布说明文件是在2016年制作并用于从sanity.io（一个无头CMS）生成网页视图以显示更改的。”阿斯托里诺告诉BleepingComputer，“从那以后就再也没有动过，因为我一直专注于扩展的新版本。唯一有害的东西是旧的（也是唯一的）@sanity依赖项，它已被入侵。但我并不知情。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Check Point最近发现，网络攻击者在微软的 VSCode Marketplace中上传了3个恶意扩展，并被Windows 开发人员下载了 46600 次。 Check Point称，攻击者能够利用这些恶意扩展窃取凭据、系统信息，并在受害者的机器上建立远程 shell。 Check Point 发现的3个恶意扩展如下： Theme Darcula dark——被描述为“尝试提高 VS Code 上的 Dracula 颜色一致性”。此扩展用于窃取有关开发人员系统的基本信息，包括主机名、操作系统、CPU 平台、总内存和有关中央处理器。到被发现时，该扩展程序已被下载超过 45000 次。 python-vscode——对其代码的分析表明，这是一个 C# shell 注入器，可以在开发人员的设备上执行代码或命令。 prettiest java——根据描述，很可能是为了仿冒流行的“ prettier-java ”代码格式化工具而创建，但实际上却能从 Discord、谷歌 Chrome、Opera、Brave 浏览器和 Yandex 浏览器窃取保存在上面的凭证或身份验证令牌，然后通过 Discord webhook 将其发送给攻击者。 除此以外，Check Point 还发现了多个可疑扩展，这些扩展不能确定为恶意，但表现出不安全的行为，例如从私有存储库中获取代码或下载文件。 Check Point已经将情况报告给了微软，5月14日，VSCode从市场中删除了这3个恶意扩展。但任何仍在使用恶意扩展的软件开发人员必须手动将它们从系统中删除，并运行完整扫描以检测感染的任何残余。 软件存储库的安全风险 Visual Studio Code (VSC) 是微软发布的源代码编辑器，  全球很大一部分专业软件开发人员都是其用户。微软还为 IDE 运营一个名为 VSCode Marketplace 的扩展市场，里面提供了超过 50000 个扩展应用程序功能，并提供更多自定义选项的附加组件。 虽然允许用户上传的软件存储库（例如 NPM 和 PyPi）已经一次又一次地被证明存在安全风险，但针对VSCode Marketplace的恶意软件渗透还没有太多先例。而AquaSec 已在 1 月份证明，将恶意扩展上传到 VSCode Marketplace 相当容易，并提出了一些高度可疑的案例，但是最终没能找到任何确凿的恶意程序。 Check Point 发现的案例表明，如同攻击者在NPM 和 PyPI 等软件存储库中的做法，他们正积极尝试通过上传恶意程序感染 Windows 开发人员，Check Point 建议 VSCode Marketplace 和其他所有支持用户上传的软件存储库用户，在下载时仅选择可信、下载量大且拥有较好社区评分的程序。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366833.html 封面来源于网络，如有侵权请联系删除