VSCode 市场发现恶意扩展正在传播勒索软件!

在VSCode 市场中发现了两个隐藏着勒索软件的恶意扩展。其中一个于去年 10 月出现在微软商店,但很长时间没有引起注意。

这些是扩展ahban.shiba 和 ahban.cychelloworld,目前已从商店中删除。

此外,ahban.cychelloworld 扩展于 2024 年 10 月 27 日上传到商店,ahban.shiba 于 2025 年 2 月 17 日上传到商店,绕过了所有安全检查。

该恶意软件是由 ReversingLabs 的专家发现的 ,他们写道,这两个扩展都包含一个 PowerShell 命令,该命令从远程 Amazon AWS 服务器下载并执行另一个 PowerShell 脚本。该脚本负责传播勒索软件。

据研究人员称,该勒索软件显然处于开发或测试阶段,因为它目前仅加密 C:\users\%username%\Desktop\testShiba 文件夹中的文件,不会触及任何其他文件。

加密完成后,脚本会在屏幕上显示一条警告:

"您的文件已加密。要恢复它们,请向 ShibaWallet 支付 1 ShibaCoin。"与传统的勒索软件攻击不同,没有额外的说明或其他要求。

在 ReversingLabs 研究人员向微软通报勒索软件后,该公司迅速从 VSCode 市场中删除了这两个扩展。

ExtensionTotal 安全研究员 Italy Kruk 此前曾运行过自动扫描,并在 VSCode 市场中检测到了这些恶意扩展,但这位专家未能联系到该公司的代表。

骗子解释道,ahban.cychelloworld 原本并不是恶意的,勒索软件是在 0.0 版本上传后出现的。

该扩展于2024年11月24日被接受到VSCode市场。此后,ahban.cychelloworld扩展又收到了五次更新,所有更新都包含恶意代码。

我们于 2024 年 11 月 25 日通过扫描仪自动生成的报告向微软报告了 ahban.cychelloworld。

可能是由于此扩展程序的安装数量较少,微软没有优先处理该消息。

专家指出,这两个扩展程序都下载并执行了远程 PowerShell 脚本,但几个月来却未被发现,这清楚地表明微软的验证流程存在严重缺陷。

相关推荐
溯源0062 小时前
vscode调试python(transformers库的llama为例)
vscode·python·llama
Eiceblue6 小时前
Python 在Word中查找并替换文本
vscode·python·word·pip
落淼喵_G9 小时前
【windows搭建lvgl模拟环境(一)之VSCode】
ide·windows·vscode
爱趣五科技10 小时前
H5DS编辑器教程——H5页面触发动画实战指南
编辑器
小猪皮蛋粥11 小时前
VScode配置默认终端为Anaconda Prompt
ide·vscode·prompt
正宗咸豆花12 小时前
利用 VSCode 配置提升 vibe coding 开发效率
ide·vscode·编辑器
徐子竣12 小时前
Unity编辑器功能及拓展(2) —Gizmos编辑器绘制功能
unity·编辑器·游戏引擎
徐子竣14 小时前
Unity编辑器功能及拓展(1) —特殊的Editor文件夹
unity·编辑器·游戏引擎
For the brave14 小时前
pycharm终端操作远程服务器
服务器·ide·pycharm
Billy Qin16 小时前
前端 VSCODE 插件开发总结 (后续将出专栏详细讲解开发的细节...)
前端·ide·vscode