СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
09.04.2025
#Dev#ИБ#ИИ

Хакеры использовали вредоносные расширения Microsoft VS Code в кампании по криптоджекингу

Хакеры использовали вредоносные расширения Microsoft VS Code в кампании по криптоджекингу

Изображение: Tadas Sar (unsplash)

Исследовательская группа из стартапа ExtensionTotal, занимающегося вопросами кибербезопасности, обнаружила масштабную операцию, нацеленную на скрытую добычу криптовалюты через платформу расширений для Visual Studio Code — редактора исходного кода от Microsoft. Как стало известно Infosecurity, кампания отличается высокой степенью продуманности и охватила внушительное число пользователей.

Специалисты компании зафиксировали по меньшей мере девять вредоносных расширений, недавно появившихся в официальной галерее Visual Studio Code. Все они были загружены после 4 апреля и размещены тремя разными авторами. Большинство из них связано с одним и тем же аккаунтом, использующим имя Mark H. За три дня общее количество установок превысило 300 тыс., а наиболее популярное расширение под названием «Discord Rich Presence» собрало 189 тыс. установок.

Итай Крук, один из основателей ExtensionTotal и бывший менеджер по продукту в компании Zscaler, обратил внимание на то, что все девять расширений объединены в рамках одной вредоносной схемы. По его словам, они маскируются под легитимные инструменты для разработчиков, но на деле служат точками входа для многоуровневой атаки, основной целью которой является скрытая добыча цифровых активов на заражённых устройствах.

В беседе с Infosecurity представитель Microsoft подтвердил, что указанные расширения были удалены из галереи, а аккаунт, с которого велась публикация, заблокирован. Представитель корпорации уточнил, что пользователям не требуется предпринимать какие-либо действия.

Среди расширений, загруженных аккаунтом Mark H, числятся следующие:

  • Discord Rich Presence для Visual Studio Code;
  • Claude AI;
  • Компилятор Golang;
  • Rust Compiler для VS Code;
  • ChatGPT Agent;
  • HTML Obfuscator;
  • Python Obfuscator.

Ещё одно расширение под названием «Rojo — Roblox Studio Sync» загружено пользователем с именем evaera и установлено 117 тыс. раз. Последний из выявленных вредоносных компонентов, «Solidity Compiler», появился в маркетплейсе от аккаунта VSCode Developer и был установлен 1300 раз.

Ювал Ронен, эксперт по кибербезопасности в ExtensionTotal и автор отчёта, указал, что столь быстрый рост числа установок выглядит подозрительно. По его мнению, этот приём был использован злоумышленниками для создания ложного впечатления популярности и доверия к поддельным расширениям, чтобы снизить бдительность пользователей и упростить распространение вредоносного кода.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: