Одразу дев’ять розширень у VSCode Marketplace видавали себе за справжні інструменти розроблення і заражали машини користувачів криптомайнером XMRig для видобутку Monero.

Дослідник ExtensionTotal Юваль Ронен (Yuval Ronen) виявив дев’ять шкідливих розширень VSCode, опублікованих у магазині Microsoft. При цьому, згідно з офіційною статистикою, всього за кілька днів розширення встигли набрати понад 300 000 установок. Дослідник вважає, що ці цифри штучно завищені, щоб надати розширенням видимість легітимності та популярності.

Нижче перераховані назви пакетів із вбудованим майнером:

-Discord Rich Presence для VS Code (автор Mark H), 189 000 установок;
-Rojo – Roblox Studio Sync (автор evaera), 117 000 установок;
-Solidity Compiler (автор VSCode Developer), 1300 установок;
-Claude AI (автор Mark H);
-Golang Compiler (автор Mark H);
-ChatGPT Agent for VSCode (автор Mark H);
-HTML Obfuscator (автор Mark H);
-Python Obfuscator for VSCode (автор Mark H);
-Rust Compiler for VSCode (автор Mark H).

Після встановлення та активації шкідливі розширення витягували PowerShell-скрипт із зовнішнього джерела за адресою https://asdf11[.]xyz/ і виконували його. Також у систему жертви встановлювали справжнє розширення, під яке маскували чаклунство, щоб у користувача не виникло підозр.

Виконуваний файл шкідника декодувався PowerShell-скриптом і підключався до керуючого сервера за адресою myaunet[.]su для завантаження і запуску XMRig.

Як зазначає видання Bleeping Computer, на віддаленому сервері зловмисників також присутня папка /npm/, що може свідчити про те, що ця кампанія активна і в npm, хоча прямих доказів цього поки немає.

Усім, хто встановив одне з дев’яти шкідливих розширень, рекомендується негайно видалити їх, а потім вручну знайти і видалити з системи майнер, заплановані завдання, ключ реєстру, а також каталог із малвар’ю.