微软官方市场出现新型恶意软件，可窃取密码和桌面截图

HackerNews 编译，转载请注明出处：

微软恶意软件

一些开发者以为自己安装的是VS Code的深色主题和AI助手。然而，那实际上是窃取其数据的恶意软件。

网络安全公司Koi的研究人员发现了微软Visual Studio Code（VS Code）的新恶意扩展。这两个扩展都是在微软官方市场（Microsoft Marketplace）上发现的，开发者可以在此处为这款流行工具下载扩展。

该恶意软件伪装成受比特币设计启发的高级深色主题和AI编程助手扩展，用信息窃取型恶意软件感染了开发者的设备。这两个扩展都会分发捆绑了恶意DLL文件（“Lightshot.dll”）的Lightshot截图工具。

该恶意软件会窃取剪贴板内容、已安装程序列表、运行进程、桌面截图、存储的Wi-Fi凭据以及详细的系统信息。

它还会以无头模式启动Google Chrome和微软Edge浏览器，窃取存储的浏览Cookie，并可能劫持用户会话。

VS Code恶意软件

“你的代码、你的电子邮件、你的Slack私信。只要你屏幕上的内容，他们都能看到。”Koi Security的研究人员写道。

“它还会窃取你的Wi-Fi密码、读取你的剪贴板，并劫持你的浏览器会话。”

研究人员提醒我们，VS Code主题是JSON文件，它们不需要激活事件、主要入口点或执行PowerShell脚本。这个恶意主题引起了怀疑，因为它会在每次VS Code操作时运行。

作为恶意的AI助手，它确实提供了实际功能，用户可以直接在VS Code中与ChatGPT或DeepSeek聊天机器人对话。这使其看起来更加可信。
然而，在代码内部，就在合法的AI聊天实现之前，研究人员发现了交织其中的恶意代码。攻击者留下了标记他们自己代码中恶意部分的注释。

“这告诉我们一些关于他们的工作流程——他们正在积极维护这个代码库，并希望确保自己或合作者在更新过程中不会意外删除有效载荷交付机制。”研究人员解释道。

恶意扩展名称：

• BigBlack.bitcoin-black
• BigBlack.codo-ai
• BigBlack.mrbigblacktheme

虽然前两个恶意扩展已被用户下载，但Koi研究人员告诉The Hacker News，BigBlack.mrbigblacktheme扩展没有造成实际影响，因为它被非常快速地移除了。

消息来源：cybernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文