窃取加密货币的恶意 VSCode 扩展程序重现 OpenVSX 平台

HackerNews 编译，转载请注明出处： 一个名为 “TigerJack” 的威胁行为者持续针对开发者发起攻击，其手段是在微软 Visual Code（VSCode）应用商店和 OpenVSX 注册表上发布恶意扩展程序，以窃取加密货币并植入后门。 此前，有两款恶意扩展程序在 VSCode 平台被下载 1.7 万次后遭下架，但目前仍在 OpenVSX 平台上架。此外，TigerJack 还会通过新账号在 VSCode 应用商店以新名称重新发布相同的恶意代码。 OpenVSX 是一个由社区维护的开源扩展程序市场，是微软平台的替代选择，提供一个独立、不绑定供应商的注册表。同时，它也是多款热门 VSCode 兼容编辑器的默认扩展市场 —— 这些编辑器因技术或法律限制无法使用 VSCode 官方市场，包括 Cursor 和 Windsurf。 攻击活动与恶意扩展程序细节 该攻击活动由 Koi Security 的研究人员发现。自今年年初以来，攻击者已分发了至少 11 款恶意 VSCode 扩展程序。 研究人员表示，此前从 VSCode 应用商店下架的两款恶意扩展程序分别名为 “C++ Playground” 和 “HTTP Format”，如今已通过新账号重新上架该平台。 C++ Playground 的恶意行为这款扩展程序启动后，会为 C++ 文件注册一个监听器（“onDidChangeTextDocument”），将源代码泄露到多个外部端点。该监听器会在代码编辑后约 500 毫秒触发，以近实时的方式捕获键盘输入。 HTTP Format 的恶意行为据 Koi Security 介绍，这款扩展程序虽能实现宣传中的功能（格式化 HTTP 内容），但会在后台秘密运行 CoinIMP 加密货币挖矿程序。它通过硬编码的凭证和配置，利用主机的处理能力进行挖矿，且未对资源使用设置任何限制，会占用主机全部计算能力。 第三类高风险恶意扩展程序TigerJack 还推出了另一类恶意扩展程序（包括 cppplayground、httpformat、pythonformat），它们会从一个硬编码地址（ab498.pythonanywhere.com/static/in4.js）获取 JavaScript 代码，并在主机上执行。该远程地址每 20 分钟会被轮询一次，这使得攻击者无需更新扩展程序，就能实现任意代码执行。 研究人员指出，与源代码窃取工具和挖矿程序不同，这类扩展程序的威胁性更强，因为它们具备更广泛的功能。Koi Security 表示：“TigerJack 无需更新扩展程序，就能动态推送任意恶意载荷 —— 包括窃取凭证和 API 密钥、部署勒索软件、将被入侵的开发者设备用作进入企业网络的入口、在项目中植入后门，或实时监控用户活动。” 平台响应与安全建议 研究人员提到，TigerJack 是一个 “协调有序的多账号运营团伙”。该团伙会伪装成独立开发者，通过创建 GitHub 仓库、设计品牌标识、列出详细功能、使用与合法工具相似的扩展名称等方式，营造可信的假象。 Koi Security 已将相关发现报告给 OpenVSX，但截至本文发布时，该注册表的维护方尚未回应，两款恶意扩展程序仍可下载。 研究人员建议，使用该平台获取软件的开发者，应仅从信誉良好、值得信赖的发布者处下载扩展程序。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文