VSCode 市场发现恶意扩展正在传播勒索软件!

在VSCode 市场中发现了两个隐藏着勒索软件的恶意扩展。其中一个于去年 10 月出现在微软商店,但很长时间没有引起注意。

这些是扩展ahban.shiba 和 ahban.cychelloworld,目前已从商店中删除。

此外,ahban.cychelloworld 扩展于 2024 年 10 月 27 日上传到商店,ahban.shiba 于 2025 年 2 月 17 日上传到商店,绕过了所有安全检查。

该恶意软件是由 ReversingLabs 的专家发现的 ,他们写道,这两个扩展都包含一个 PowerShell 命令,该命令从远程 Amazon AWS 服务器下载并执行另一个 PowerShell 脚本。该脚本负责传播勒索软件。

据研究人员称,该勒索软件显然处于开发或测试阶段,因为它目前仅加密 C:\users\%username%\Desktop\testShiba 文件夹中的文件,不会触及任何其他文件。

加密完成后,脚本会在屏幕上显示一条警告:

"您的文件已加密。要恢复它们,请向 ShibaWallet 支付 1 ShibaCoin。"与传统的勒索软件攻击不同,没有额外的说明或其他要求。

在 ReversingLabs 研究人员向微软通报勒索软件后,该公司迅速从 VSCode 市场中删除了这两个扩展。

ExtensionTotal 安全研究员 Italy Kruk 此前曾运行过自动扫描,并在 VSCode 市场中检测到了这些恶意扩展,但这位专家未能联系到该公司的代表。

骗子解释道,ahban.cychelloworld 原本并不是恶意的,勒索软件是在 0.0 版本上传后出现的。

该扩展于2024年11月24日被接受到VSCode市场。此后,ahban.cychelloworld扩展又收到了五次更新,所有更新都包含恶意代码。

我们于 2024 年 11 月 25 日通过扫描仪自动生成的报告向微软报告了 ahban.cychelloworld。

可能是由于此扩展程序的安装数量较少,微软没有优先处理该消息。

专家指出,这两个扩展程序都下载并执行了远程 PowerShell 脚本,但几个月来却未被发现,这清楚地表明微软的验证流程存在严重缺陷。

相关推荐
2601_961593428 小时前
Mac 上搭建Linux环境吗?VMware + CentOS Stream 9 镜像快速部署
linux·运维·ide·macos·centos
郭老二11 小时前
【ROS2】vscode配置头文件路径等
vscode
不厌 -_-12 小时前
VSCode 中 Markdown 转 PDF
vscode·pdf
悲凉的紫菜12 小时前
dariy
android·ide·android studio
love530love13 小时前
CodexPro + MCP + Cloudflare 配置详解:HTTP2、QUIC 与连接排障
ide·人工智能·windows·ai agent
友人.22713 小时前
补充章节:VSCode Wokwi 无法可视化连线?在线 Wokwi 网页拖拽绘图方案
ide·vscode·编辑器
zhanghaofaowhrql13 小时前
为CSDN博客编辑器安装自定义CSS主题,打造个性化写作界面
前端·css·编辑器
workbuddy小能手17 小时前
用 WorkBuddy 部署 Node.js 项目实战:基金导航站与 Markdown 编辑器同机上线
人工智能·ai·node.js·编辑器·workbuddy
华万通信king17 小时前
用 WorkBuddy 把两个 Node 网站搬上云:基金导航站 + Markdown 编辑器,宝塔托管实战复盘
人工智能·编辑器·workbuddy
赵庆明老师1 天前
Vben精讲:04-了解VSCode中的Git
ide·git·vscode