Специалист по кибербезопасности Юваль Ронен из ExtensionTotal выявил серьезную угрозу в официальном магазине расширений Visual Studio Code. Девять вредоносных расширений, замаскированных под легитимные инструменты разработки, распространяли криптовалютный майнер XMRig, предназначенный для скрытой добычи Monero на компьютерах пользователей.
Механизм распространения и масштаб угрозы
Вредоносные расширения были опубликованы в VSCode Marketplace 4 апреля 2025 года и всего за несколько дней достигли более 300 000 установок. Эксперты предполагают, что показатели установок были искусственно завышены злоумышленниками для создания видимости популярности и надежности расширений.
Технический анализ вредоносной активности
После установки расширения запускали сложный механизм заражения системы. Вредоносный код извлекал PowerShell-скрипт с удаленного сервера (https://asdf11[.]xyz/) и параллельно устанавливал легитимное расширение для маскировки своей активности. PowerShell-скрипт выполнял следующие действия:
Закрепление в системе
Малварь создавала запланированную задачу под видом OnedriveStartup и модифицировала реестр Windows для обеспечения автозапуска. Дополнительно отключались службы Windows Update и Update Medic, а рабочий каталог вредоноса добавлялся в исключения Windows Defender.
Повышение привилегий
При запуске без прав администратора вредонос использовал технику DLL hijacking через подмену MLANG.dll, имитируя системный процесс ComputerDefaults.exe для получения повышенных привилегий.
Загрузка криптомайнера
После успешного закрепления в системе малварь подключалась к управляющему серверу myaunet[.]su для загрузки и активации майнера XMRig. Исследователи также обнаружили на сервере директорию /npm/, что может указывать на распространение угрозы через экосистему npm.
Пользователям, установившим подозрительные расширения VSCode, настоятельно рекомендуется немедленно удалить их и провести полную проверку системы. Необходимо вручную удалить все компоненты вредоносного ПО: майнер, созданные задачи в планировщике, модификации реестра и зараженные каталоги. Для предотвращения подобных инцидентов следует устанавливать расширения только от проверенных разработчиков и регулярно проводить аудит установленного программного обеспечения.
