駭客上傳NPM、PyPI惡意套件攻擊開發人員的情況日益頻繁,但也有針對使用微軟Visual Studio Code(VSCode)的開發者而來的情況,最近有資安業者發現,攻擊者在市集提供惡意擴充套件,企圖利用受害電腦挖礦。
供應鏈資安業者Koi Security指出,他們透過威脅情報平臺ExtensionTotal找到10個惡意VSCode擴充套件,這些套件總共已被下載超過100萬次,一旦開發人員不慎安裝,電腦就有可能被植入挖礦程式XMRig,為駭客挖取門羅幣(Monero)。
研究人員指出,這些套件在4月4日於微軟的VSCode市集上架,其中最多人下載的是Prettier — Code for VSCode、Discord Rich Presence for VS Code、Rojo — Roblox Studio Sync,分別有95.5萬、18.9萬、11.7萬次下載。針對這些套件在不到一週就出現大量下載的情況,Koi Security認為並不尋常,很有可能是攻擊者人工產生的數字,目的是製造擴充套件廣泛受到信任及採用的假象,以減少開發人員的懷疑。
然而一旦開發人員安裝這些套件,電腦就會從C2伺服器下載PowerShell指令碼並執行,此指令碼停用Microsoft Update更新機制、於Microsoft Defender設置白名單資料夾,並建立工作排程、提升權限,最終部署XMRig。
值得留意的是,這些惡意套件也都具備駭客宣稱的功能,以Prettier — Code for VSCode而言,攻擊者也可能一併安裝正常的程式碼格式化工具Prettier - Code formatter;以Discord Rich Presence for VS Code而言,攻擊者也可能一併安裝正常的在Discord顯示VScode執行狀態的Discord Presence;以Rojo — Roblox Studio Sync而言,攻擊者也可能一併安裝正常的Roblox Studio同步工具Rojo - Roblox Studio Sync,因此,開發人員不太容易察覺攻擊者在背景執行惡意PowerShell指令碼的情況。
