Extensiones maliciosas de VSCode instalan sigilosamente un criptominero

Estándar

El investigador en seguridad informática Yuval Ronen ha publicado en su blog que ha encontrado 9 extensiones de VSCode  que instalan un software que mina Monero (una criptomoneda altamente anónima) en el PC de la víctima. Aunque Microsoft ya ha anunciado que todas las extensiones de VSCode descubiertas han sido eliminadas del Marketplace, es una historia interesante.

Nueve extensiones de VSCode en el Marketplace de Visual Studio Code de Microsoft se hacen pasar por herramientas de desarrollo legítimas mientras infectan a los usuarios con el criptominero XMRig para minar Monero.

Microsoft VSCode es un editor de código popular que permite instalar extensiones para ampliar las funcionalidades del mismo. Estas extensiones se pueden descargar desde el Marketplace de VSCode de Microsoft.

Las extensiones infectadas con el criptominero son:

  • Discord Rich Presence for VS Code (de `Mark H`), 189K Instalaciones
  • Rojo – Roblox Studio Sync (de `evaera`),117K Instalaciones
  • Solidity Compiler (de `VSCode Developer`), 1.3K Instalaciones
  • Claude AI (de `Mark H`)
  • Golang Compiler (de `Mark H`)
  • ChatGPT Agent for VSCode (de `Mark H`)
  • HTML Obfuscator (de `Mark H`)
  • Python Obfuscator for VSCode (de `Mark H`)
  • Rust Compiler for VSCode (de `Mark H`)

El Marketplace muestra que las extensiones ya han acumulado más de 300.000 instalaciones desde el 4 de abril. Es probable que estos números estén inflados artificialmente para dar a las extensiones una sensación de legitimidad y popularidad para incentivar a muchos usuarioa a instalarlas.

Cómo funcionan las extensiones maliciosas.

Al instalarse y activarse, las extensiones maliciosas descargan un script de PowerShell de una fuente externa desde el siguiente URL: ‘https://asdf11[.]xyz/’ y lo ejecutan. Al finalizar, también instalan la extensión legítima que suplantan, para que el usuario infectado no sospeche.

El script malicioso de PowerShell realiza múltiples funciones, como deshabilitar defensas, establecer persistencia, escalar privilegios y finalmente, cargar el minero de criptomonedas.

Primero, crea una tarea programada disfrazada de «OnedriveStartup» e inyecta un script en el Registro de Windows para garantizar que el malware (Launcher.exe) se ejecute al iniciar el sistema.

A continuación, desactiva servicios críticos de Windows como Windows Update y Update Medic. Añade su directorio de trabajo a la lista de exclusión de Windows Defender para evitar ser detectado.

Si el malware no se ejecutó con permisos de administrador, imita un binario del sistema (ComputerDefaults.exe) y secuestra una DLL utilizando un archivo MLANG.dll malicioso para elevar privilegios y ejecutar la carga útil de Launcher.exe.

El ejecutable, codificado en base64, es decodificado por el script de PowerShell para conectarse a un servidor secundario en myaunet[.]su y descargar y ejecutar XMRig, un minero de criptomonedas Monero.

Si por casualidad tiene instalada alguna de las extensiones listadas aquí, desinstalelas inmediatamente y manualmente localizar y borrar el archivo del criptominero.