Las extensiones maliciosas de VSCode infectan Windows con criptomineros

Iniciado por AXCESS, Abril 07, 2025, 10:08:07 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Abril 07, 2025, 10:08:07 PM


Nueve extensiones de VSCode en el Marketplace de Visual Studio Code de Microsoft se hacen pasar por herramientas de desarrollo legítimas mientras infectan a los usuarios con el criptominero XMRig para minar Ethereum y Monero.

Microsoft VSCode es un popular editor de código que permite instalar extensiones para ampliar la funcionalidad del programa. Estas extensiones se pueden descargar desde el Marketplace de VSCode de Microsoft, un centro en línea donde los desarrolladores pueden encontrar e instalar complementos.

El investigador de ExtensionTotal, Yuval Ronen, descubrió nueve extensiones de VSCode publicadas en el portal de Microsoft el 4 de abril de 2025.

Los nombres de los paquetes son:

Discord Rich Presence para VS Code (por `Mark H`) - 189 000 instalaciones

Red – Roblox Studio Sync (por `evaera`) - 117 000 instalaciones

Solidity Compiler (por `VSCode Developer`) - 1300 instalaciones

Claude AI (por `Mark H`)

Golang Compiler (por `Mark H`)

ChatGPT Agent para VSCode (por `Mark H`)

HTML Obfuscator (por `Mark H`)

Python Obfuscator para VSCode (por `Mark H`)

Rust Compiler para VSCode (por `Mark H`)

El mercado muestra que las extensiones ya han acumulado más de 300 000 instalaciones desde abril. 4. Es probable que estas cifras estén infladas artificialmente para dar a las extensiones una sensación de legitimidad y popularidad y así incentivar su instalación.

ExtensionTotal afirma haber informado a Microsoft sobre las extensiones maliciosas, pero al momento de escribir este artículo, aún estaban disponibles.

La extensión con temática de Discord en VSCode Marketplace


El código de PowerShell instala el minero XMRig.

Al instalarse y activarse, las extensiones maliciosas obtienen un script de PowerShell de una fuente externa en "https://asdf11[.]xyz/" y lo ejecutan. Al finalizar, también instalan la extensión legítima que suplantan, para que el usuario infectado no sospeche.

Código para descargar el script de PowerShell


El script malicioso de PowerShell realiza múltiples funciones, como deshabilitar defensas, establecer persistencia, escalar privilegios y, finalmente, cargar el minero de criptomonedas.

Primero, crea una tarea programada disfrazada de "OnedriveStartup" e inyecta un script en el Registro de Windows para garantizar que el malware (Launcher.exe) se ejecute al iniciar el sistema.

A continuación, desactiva servicios críticos de Windows como Windows Update y Update Medic, y añade su directorio de trabajo a la lista de exclusión de Windows Defender para evitar ser detectado.

Si el malware no se ejecutó con permisos de administrador, imita un binario del sistema (ComputerDefaults.exe) y secuestra una DLL utilizando un archivo MLANG.dll malicioso para elevar privilegios y ejecutar la carga útil de Launcher.exe.

El ejecutable, codificado en base64, es decodificado por el script de PowerShell para conectarse a un servidor secundario en myaunet[.]su y descargar y ejecutar XMRig, un minero de criptomonedas Monero.

BleepingComputer descubrió que el servidor remoto del actor de amenazas también contiene una carpeta /npm/, lo que podría indicar que la campaña también está activa en ese índice de paquetes. Sin embargo, no hemos podido encontrar los archivos maliciosos en la plataforma NPM.

Presencia de un directorio NPM en el servidor del actor de amenazas


Si ha instalado alguna de las nueve extensiones mencionadas en el informe ExtensionTotal, debe eliminarla inmediatamente y, a continuación, localizar y eliminar manualmente el minero de monedas, las tareas programadas, la clave de registro y el directorio de malware.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario