名為“TigerJack”的網(wǎng)絡(luò)犯罪團伙持續(xù)將目標對準開發(fā)者，通過在微軟Visual Code插件市場及OpenVSX注冊表中發(fā)布惡意插件，實現(xiàn)加密貨幣竊取與后門植入。

其中兩款惡意插件在VSCode市場累計被下載1.7萬次后遭下架，但目前仍存在于OpenVSX平臺。此外，TigerJack還會以新名稱在VSCode市場重新發(fā)布相同惡意代碼，規(guī)避平臺審核。

據(jù)悉，OpenVSX是社區(qū)維護的開源插件市場，定位為微軟VSCode插件市場的替代選擇，提供獨立、無廠商綁定的插件注冊服務(wù)。

它同時也是多款熱門VSCode兼容編輯器的默認插件市場——這些編輯器因技術(shù)或法律限制無法使用微軟官方市場，典型包括Cursor與Windsurf。

網(wǎng)絡(luò)安全公司Koi Security的研究人員發(fā)現(xiàn)了此次攻擊活動。數(shù)據(jù)顯示，自今年年初以來，TigerJack已散布至少11款惡意VSCode插件。

研究人員指出，此前從VSCode市場下架的兩款插件分別名為“C++ Playground”與“HTTP Format”，而攻擊者通過新賬號將這兩款插件重新上架，繼續(xù)誘導(dǎo)開發(fā)者下載。

三類惡意插件的核心危害：竊取源碼、隱秘挖礦、遠程控機

1. C++ Playground：近實時竊取C++源碼

該插件啟動后，會為C++文件注冊“文本文檔變更監(jiān)聽程序（onDidChangeTextDocument）”，用于將開發(fā)者的源碼外傳至多個外部端點。為實現(xiàn)近實時捕獲，監(jiān)聽程序會在代碼編輯后約500毫秒觸發(fā)，記錄開發(fā)者的按鍵內(nèi)容。

2. HTTP Format：偽裝正常功能，后臺無限制挖礦

Koi Security表示，HTTP Format雖能實現(xiàn)宣傳的“HTTP格式化”功能，但會在后臺秘密運行CoinIMP挖礦程序。它通過硬編碼的憑證與配置，利用主機計算資源挖掘加密貨幣，且未設(shè)置任何資源使用限制，會占用主機全部算力。

主機上活躍的礦工來源

3. cppplayground等插件：遠程加載代碼，支持任意執(zhí)行

TigerJack發(fā)布的第三類惡意插件（包括cppplayground、httpformat、pythonformat），會從硬編碼地址（ab498.pythonanywhere.com/static/in4.js）獲取JavaScript代碼并在主機執(zhí)行。

該遠程地址每20分鐘會被插件輪詢一次，攻擊者無需更新插件，即可隨時推送新惡意代碼，實現(xiàn)“任意代碼執(zhí)行”。

惡意功能

研究人員稱，這類插件比前兩類威脅更大，因其支持擴展功能，可靈活發(fā)起后續(xù)攻擊。

攻擊團伙偽裝手段與平臺響應(yīng)

TigerJack是 “有組織的多賬號操作”，通過偽造獨立開發(fā)者身份掩蓋真實目的——包括搭建GitHub倉庫、設(shè)計品牌標識、列出詳細功能清單，以及使用與正規(guī)工具相似的插件名稱，增強偽裝可信度。

Koi Security已將相關(guān)發(fā)現(xiàn)報告給OpenVSX，但截至報告發(fā)布時，該注冊表維護方尚未回應(yīng)，上述兩款惡意插件仍可下載。

惡意擴展已從VSCode中刪除（左），但仍可在OpenVSX（右）上使用來源

研究人員建議，使用該平臺獲取軟件的開發(fā)者，應(yīng)僅從信譽良好、可信賴的發(fā)布者處下載插件，避免安裝來源不明的工具。

參考及來源：https://www.bleepingcomputer.com/news/security/malicious-crypto-stealing-vscode-extensions-resurface-on-openvsx/