黑客上传NPM、PyPI恶意组件攻击开发人员的情况日益频繁,但也有针对使用微软Visual Studio Code(VSCode)的开发者而来的情况,最近有安全企业发现,攻击者在市场提供恶意扩展组件,企图利用受害计算机挖矿。
供应链安全企业Koi Security指出,他们通过威胁情报平台ExtensionTotal找到10个恶意VSCode扩展组件,这些组件总共已被下载超过100万次,一旦开发人员不慎安装,计算机就有可能被植入挖矿程序XMRig,为黑客挖取门罗币(Monero)。
研究人员指出,这些组件在4月4日于微软的VSCode市场上架,其中最多人下载的是Prettier — Code for VSCode、Discord Rich Presence for VS Code、Rojo — Roblox Studio Sync,分别有95.5万、18.9万、11.7万次下载。针对这些组件在不到一周就出现大量下载的情况,Koi Security认为并不寻常,很有可能是攻击者人工产生的数字,目的是制造扩展组件广泛受到信任及采用的假象,以减少开发人员的怀疑。
然而一旦开发人员安装这些组件,计算机就会从C2服务器下载PowerShell脚本并执行,此脚本停用Microsoft Update更新机制、于Microsoft Defender设置白名单文件夹,并创建工作调度、提升权限,最终部署XMRig。
值得留意的是,这些恶意组件也都具备黑客宣称的功能,以Prettier — Code for VSCode而言,攻击者也可能一并安装正常的程序代码格式化工具Prettier - Code formatter;以Discord Rich Presence for VS Code而言,攻击者也可能一并安装正常的在Discord显示VScode执行状态的Discord Presence;以Rojo — Roblox Studio Sync而言,攻击者也可能一并安装正常的Roblox Studio同步工具Rojo - Roblox Studio Sync,因此,开发人员不太容易发现攻击者在后台执行恶意PowerShell脚本的情况。
