Дослідник кібербезпеки Юваль Ронен з компанії ExtensionTotal виявив критичну загрозу в офіційному маркетплейсі Visual Studio Code. Дев’ять шкідливих розширень, замаскованих під легітимні інструменти розробки, поширювали майнер криптовалюти XMRig для прихованого видобутку Monero на комп’ютерах жертв.
Масштаб зараження та механізм поширення
Зловмисні розширення з’явились у VSCode Marketplace 4 квітня 2025 року та за лічені дні досягли понад 300 000 завантажень. Експерти вважають, що показники інсталяцій були штучно збільшені зловмисниками для створення ілюзії надійності та популярності розширень серед користувачів.
Технічний аналіз шкідливого програмного забезпечення
Після встановлення розширення активувався складний механізм компрометації системи. Шкідливий код завантажував PowerShell-скрипт з віддаленого сервера (https://asdf11[.]xyz/) та паралельно інсталював легітимне розширення для маскування своєї активності.
Методи персистентності в системі
Малвар створював заплановане завдання під виглядом OnedriveStartup та модифікував реєстр Windows для забезпечення автозапуску. Додатково вимикались служби Windows Update і Update Medic, а робочий каталог шкідливого ПЗ додавався до виключень Windows Defender.
Механізм підвищення привілеїв
При запуску без прав адміністратора шкідливе ПЗ використовувало техніку DLL hijacking через підміну MLANG.dll, імітуючи системний процес ComputerDefaults.exe для отримання підвищених привілеїв у системі.
Процес розгортання криптомайнера
Після успішного закріплення малвар підключався до командного сервера myaunet[.]su для завантаження та активації майнера XMRig. Дослідники також виявили на сервері директорію /npm/, що може свідчити про поширення загрози через екосистему npm.
Користувачам, які встановили підозрілі розширення VS Code, наполегливо рекомендується негайно видалити їх та провести повне сканування системи антивірусним ПЗ. Необхідно вручну видалити всі компоненти шкідливої програми: майнер, створені завдання у планувальнику, модифікації реєстру та інфіковані каталоги. Для запобігання подібним інцидентам рекомендується встановлювати розширення лише від верифікованих розробників та регулярно проводити аудит встановленого програмного забезпечення.
