导语:TigerJack威胁团伙持续针对开发者,借VSCode与OpenVSX恶意插件窃取加密货币、植入后门。
名为“TigerJack”的网络犯罪团伙持续将目标对准开发者,通过在微软Visual Code插件市场及OpenVSX注册表中发布恶意插件,实现加密货币窃取与后门植入。
其中两款恶意插件在VSCode市场累计被下载1.7万次后遭下架,但目前仍存在于OpenVSX平台。此外,TigerJack还会以新名称在VSCode市场重新发布相同恶意代码,规避平台审核。
据悉,OpenVSX是社区维护的开源插件市场,定位为微软VSCode插件市场的替代选择,提供独立、无厂商绑定的插件注册服务。
它同时也是多款热门VSCode兼容编辑器的默认插件市场——这些编辑器因技术或法律限制无法使用微软官方市场,典型包括Cursor与Windsurf。
网络安全公司Koi Security的研究人员发现了此次攻击活动。数据显示,自今年年初以来,TigerJack已散布至少11款恶意VSCode插件。
研究人员指出,此前从VSCode市场下架的两款插件分别名为“C++ Playground”与“HTTP Format”,而攻击者通过新账号将这两款插件重新上架,继续诱导开发者下载。
三类恶意插件的核心危害:窃取源码、隐秘挖矿、远程控机
1. C++ Playground:近实时窃取C++源码
该插件启动后,会为C++文件注册“文本文档变更监听程序(onDidChangeTextDocument)”,用于将开发者的源码外传至多个外部端点。为实现近实时捕获,监听程序会在代码编辑后约500毫秒触发,记录开发者的按键内容。
2. HTTP Format:伪装正常功能,后台无限制挖矿
Koi Security表示,HTTP Format虽能实现宣传的“HTTP格式化”功能,但会在后台秘密运行CoinIMP挖矿程序。它通过硬编码的凭证与配置,利用主机计算资源挖掘加密货币,且未设置任何资源使用限制,会占用主机全部算力。
主机上活跃的矿工来源
3. cppplayground等插件:远程加载代码,支持任意执行
TigerJack发布的第三类恶意插件(包括cppplayground、httpformat、pythonformat),会从硬编码地址(ab498.pythonanywhere.com/static/in4.js)获取JavaScript代码并在主机执行。
该远程地址每20分钟会被插件轮询一次,攻击者无需更新插件,即可随时推送新恶意代码,实现“任意代码执行”。
恶意功能
研究人员称,这类插件比前两类威胁更大,因其支持扩展功能,可灵活发起后续攻击。
攻击团伙伪装手段与平台响应
TigerJack 是 “有组织的多账号操作”,通过伪造独立开发者身份掩盖真实目的——包括搭建 GitHub 仓库、设计品牌标识、列出详细功能清单,以及使用与正规工具相似的插件名称,增强伪装可信度。
Koi Security 已将相关发现报告给 OpenVSX,但截至报告发布时,该注册表维护方尚未回应,上述两款恶意插件仍可下载。
恶意扩展已从 VSCode 中删除(左),但仍可在 OpenVSX(右)上使用来源
研究人员建议,使用该平台获取软件的开发者,应仅从信誉良好、可信赖的发布者处下载插件,避免安装来源不明的工具。
文章翻译自:https://www.bleepingcomputer.com/news/security/malicious-crypto-stealing-vscode-extensions-resurface-on-openvsx/如若转载,请注明原文地址
