《暗藏玄机！VSCode 插件商店惊现 9 款挖矿恶意扩展，累计下载量竟超 30 万！》

隐身窃取算力：揭秘VSCode插件商店背后的挖矿陷阱

　　 4月8日消息，科技媒体bleepingcomputer昨日报道，安全专家发现微软VSCode扩展商店中有9款伪装成开发工具的恶意插件。这些插件暗中植入了XMRig挖矿程序，企图秘密挖掘以太坊和门罗币。这一事件再次提醒我们，开发者在选择扩展时必须格外谨慎，避免因一时疏忽而给个人或企业带来不必要的经济损失和技术风险。 从这次事件可以看出，网络犯罪分子的手段愈发隐蔽且多样化。他们利用开发者对扩展的信任，将恶意代码嵌入到看似无害的工具中，这种行为不仅威胁到用户的隐私和安全，还可能对整个技术生态造成负面影响。因此，各大平台应进一步加强审核机制，确保类似情况不再发生。同时，用户也需提高警惕，定期检查系统资源使用情况，及时发现并移除可疑活动。只有多方共同努力，才能构建更加健康和安全的数字环境。

　　 近期，网络安全公司ExtensionTotal的研究人员YuvalRonen揭露了一个令人担忧的现象：在微软VSCode的扩展商店中，有9款看似无害的插件实际上被植入了挖矿木马。这些恶意软件伪装成开发者常用的工具，比如拥有18.9万次安装量的DiscordRichPresence插件，以及下载次数达11.7万次的罗布乐思同步工具Rojo，甚至还有一些声称提供编程语言编译功能的扩展。这种行为不仅严重威胁了用户的设备安全，还对整个开发者社区造成了信任危机。 我认为，这一事件再次提醒我们，在使用开源或第三方工具时必须保持高度警惕。尽管VSCode作为一款广受欢迎的代码编辑器，其扩展商店为开发者提供了极大的便利，但这也意味着它可能成为不良分子利用的目标。对于普通用户来说，定期检查已安装扩展的安全性至关重要，同时开发者社区也需要加强对上传至平台内容的审核机制，以防止类似情况的发生。此外，广大开发者应选择那些经过验证且评价较高的插件，避免因贪图一时方便而陷入不必要的麻烦。总之，网络安全意识的提升永远是第一位的。

　　 Discord Rich Presence for VS Code (by `Mark H`)

　　 Rojo – Roblox Studio Sync (by `evaera`)

　　 Solidity Compiler (by `VSCode Developer`)

　　 Claude AI (by `Mark H`)

　　 Golang Compiler (by `Mark H`)

　　 ChatGPT Agent for VSCode (by `Mark H`)

　　 HTML Obfuscator (by `Mark H`)

　　 Python Obfuscator for VSCode (by `Mark H`)

　　 Rust Compiler for VSCode (by `Mark H`)

　　 所有插件均显示为2025年4月4日发布，累计安装量已超过30万次，然而实际数据可能存在被恶意刷高的情况，以此来吸引更多的用户关注。

　　 安装后，插件将从外部服务器（xyz789qwe）获取PowerShell脚本。该脚本包含三个阶段的攻击流程：第一步是在Windows注册表中创建一个名为“StartupSync”的定时任务，并植入恶意启动项。

　　 随后关闭 Windows 更新服务，并将工作目录加入杀毒软件排除列表；若未获管理员权限，则通过仿冒 ComputerDefaults.exe 程序及劫持 MLANG.dll 实现提权。最终，脚本解码 base64 格式的 Launcher.exe，连接二级服务器（myaunetsu）下载 XMRig 矿工程序。

　　 需要关注的是，攻击者的服务器上发现了/npm/目录，这表明他们或许正在对Node.js包管理平台进行攻击。不过，截至目前，在NPM中还未发现与此相关的恶意文件。

　　 ExtensionTotal已向微软通报了此问题，但截至目前，该恶意插件仍未被下架。安全专家提醒相关用户尽快卸载该插件，并手动清除其留下的注册表项、定时任务以及C:\ProgramData\Launcher目录。