摘要：近日，科技安全领域传来一则警报，知名科技博客bleepingcomputer揭露了一起针对微软Visual Studio Code（VSCode）扩展商店的攻击事件。安全专家在该平台上发现了九款表面看似开发工具，实则暗藏XMRig挖矿程序的恶意插件。

近日，科技安全领域传来一则警报，知名科技博客bleepingcomputer揭露了一起针对微软Visual Studio Code（VSCode）扩展商店的攻击事件。安全专家在该平台上发现了九款表面看似开发工具，实则暗藏XMRig挖矿程序的恶意插件。

这些插件精心伪装成开发者常用的工具，如Discord Rich Presence、Roblox同步工具Rojo，以及多种编程语言的编译器，通过诱人的功能描述吸引用户安装。据统计，这些恶意插件的总安装量已超过30万次，尽管实际数字可能因恶意刷量而偏高。

网络安全公司ExtensionTotal的研究员Yuval Ronen是此次事件的发现者之一。他指出，这些插件不仅伪装得极具迷惑性，而且发布日期统一标注为2025年4月4日，显然是为了掩盖其真实上线时间。

一旦用户安装了这些插件，它们便会悄悄从外部服务器（asdf11xyz）下载并执行PowerShell脚本。该脚本的执行流程相当复杂且隐蔽：首先，它会在Windows系统中创建一个名为“OnedriveStartup”的定时任务，并将恶意启动项写入注册表，以确保在系统启动时自动运行。

紧接着，脚本会关闭Windows更新服务，并将工作目录添加到杀毒软件的排除列表中，以降低被检测到的风险。若当前用户权限不足，脚本还会通过仿冒系统程序及劫持关键系统文件（如MLANG.dll）的方式，尝试提升权限。

最终，脚本会解码一个base64格式的Launcher.exe文件，并连接到二级服务器（myaunetsu）下载并运行XMRig挖矿程序。这一连串的操作，使得攻击者能够在用户不知情的情况下，利用受害者的计算机资源秘密开采以太坊和门罗币。

值得注意的是，安全专家在分析攻击者服务器时，还发现了一个名为/npm/的目录。这一发现引发了业界对于Node.js包平台可能遭受类似攻击的担忧。然而，截至目前，尚未在NPM平台上发现与此次事件相关的恶意文件。

ExtensionTotal公司已及时将此事报告给微软，但遗憾的是，在报道发布时，涉事的恶意插件仍未被下架。因此，安全专家强烈建议所有可能受影响的VSCode用户立即卸载这些插件，并手动删除相关的注册表项、定时任务以及C:ProgramDataLauncher目录，以防止攻击者继续利用这些恶意插件进行挖矿活动。

此次事件再次凸显了网络安全的重要性，尤其是在开发者社区中。随着技术的不断发展，攻击者的手段也日益狡猾和隐蔽。因此，保持警惕、及时更新安全补丁、以及定期扫描和清理系统，成为了每位开发者不可或缺的安全习惯。

同时，对于平台方而言，加强扩展商店的审核机制、提高安全检测能力、以及及时响应和处理安全事件，也是保障用户安全、维护平台声誉的重要举措。

来源：ITBear科技资讯