Вредоносные расширения VSCode заражают ПК с Windows криптомайнерами

Исследователь ExtensionTotal Ювал Ронен обнаружил девять расширений VSCode на Visual Studio Code Marketplace от Microsoft, которые выдают себя за легитимные инструменты разработки, но заражают пользователей криптомайнером XMRig для майнинга Ethereum и Monero.

Microsoft VSCode — популярный редактор кода, позволяющий пользователям устанавливать расширения для расширения функциональности программы. Эти расширения можно загрузить с онлайн-хаба для разработчиков VSCode Marketplace от Microsoft.

Имена вредоносных пакетов:

Discord Rich Presence для VS Code (автор Mark H) — 189 тыс. установок;

Rojo — Roblox Studio Sync (автор evaera) — 117 тыс. установок;

Solidity Compiler (автор VSCode Developer) — 1,3 тыс. установок;

Claude AI (автор Mark H);

Golang Compiler (автор Mark H);

ChatGPT Agent для VSCode (автор Mark H);

HTML Obfuscator (автор Mark H);

Python Obfuscator для VSCode (автор Mark H);

Rust Compiler для VSCode (автор Mark H).

Таким образом, у расширений уже накопилось более 300 тысяч установок с 4 апреля. Эти цифры, вероятно, искусственно завышены, чтобы придать расширениям видимость легитимности и популярности.

После установки и активации они извлекают скрипт PowerShell из внешнего источника по адресу «https://asdf11[.]xyz/» и выполняют его. После завершения также устанавливается легитимное расширение, чтобы не вызвать подозрений у пользователя.

Вредоносный скрипт PowerShell выполняет несколько функций, таких как отключение защиты, установление персистентности, повышение привилегий и, в конечном итоге, загрузка криптомайнера.

Во-первых, он создаёт запланированную задачу, замаскированную под «OnedriveStartup», и внедряет скрипт в реестр Windows, чтобы гарантировать запуск вредоносного ПО (Launcher.exe) при запуске системы.

Затем он