安全厂商Koi Security披露两款上架于微软VS Code市场的扩展组件,被证实会在开发者计算机安装资讯窃取恶意程序,这两款分别名为Bitcoin Black与Codo AI的扩展组件,分别伪装成暗色主题与AI程序开发助理,在背景下载并启动屏幕截屏与凭证窃取程序,能截取桌面画面、读取存储的WiFi密码与浏览器工作阶段。
研究人员指出,Bitcoin Black在描述上只是比特币风格主题,但程序结构远超出一般主题需求,不仅声明在所有VS Code动作都会触发的万用启动事件,还可执行PowerShell指令。早期版本通过PowerShell下载受密码保护的压缩文件并解压,后续版本改为调用批次文件与curl直接下载可执行文件与DLL,且在隐藏窗口中执行,以降低被注意的机会。
Codo AI则提供通过ChatGPT或DeepSeek进行程序开发协助的界面,看起来与一般AI扩展组件无异,但研究人员却在合法AI对话实例前找到一段额外插入的程序代码区块,负责下载并启动相同恶意载荷。两款扩展组件由同一发行者BigBlack上架,共享相同恶意程序与基础设施,被研判为同一攻击者锁定开发者群体。
两款扩展组件最终都会投放正牌Lightshot屏幕截屏工具搭配恶意DLL,利用DLL劫持手法,在看似正常的Lightshot程序启动时加载恶意程序。恶意程序会在应用程序数据目录下创建名为Evelyn的文件夹,搜集系统资讯、已安装程序与执行中程序清单、剪贴板内容、桌面截屏,以及已存储的WiFi认证数据,并回传至攻击者控制的服务器,同时在背景以无头(Headless)模式启动Chrome与Edge,读取浏览器Cookie与登录工作阶段数据,使账号凭证与浏览器工作阶段一并暴露。
研究人员提到,Bitcoin Black与Codo AI虽然安装数不高,但因托管于官方扩展组件市场,对一般开发者仍具有相当可信度。外媒BleepingComputer报道,微软发言人已证实这两款恶意扩展组件已自VS Code市场下架。
