竊取加密貨幣的惡意VSCode插件在OpenVSX平臺再度出現

名為“TigerJack”的網絡犯罪團伙持續將目標對準開發者，通過在微軟Visual Code插件市場及OpenVSX注冊表中發布惡意插件，實現加密貨幣竊取與后門植入。

其中兩款惡意插件在VSCode市場累計被下載1.7萬次后遭下架，但目前仍存在于OpenVSX平臺。此外，TigerJack還會以新名稱在VSCode市場重新發布相同惡意代碼，規避平臺審核。

據悉，OpenVSX是社區維護的開源插件市場，定位為微軟VSCode插件市場的替代選擇，提供獨立、無廠商綁定的插件注冊服務。

它同時也是多款熱門VSCode兼容編輯器的默認插件市場——這些編輯器因技術或法律限制無法使用微軟官方市場，典型包括Cursor與Windsurf。

網絡安全公司Koi Security的研究人員發現了此次攻擊活動。數據顯示，自今年年初以來，TigerJack已散布至少11款惡意VSCode插件。

研究人員指出，此前從VSCode市場下架的兩款插件分別名為“C++ Playground”與“HTTP Format”，而攻擊者通過新賬號將這兩款插件重新上架，繼續誘導開發者下載。

三類惡意插件的核心危害：竊取源碼、隱秘挖礦、遠程控機

1. C++ Playground：近實時竊取C++源碼

該插件啟動后，會為C++文件注冊“文本文檔變更監聽程序（onDidChangeTextDocument）”，用于將開發者的源碼外傳至多個外部端點。為實現近實時捕獲，監聽程序會在代碼編輯后約500毫秒觸發，記錄開發者的按鍵內容。

2. HTTP Format：偽裝正常功能，后臺無限制挖礦

Koi Security表示，HTTP Format雖能實現宣傳的“HTTP格式化”功能，但會在后臺秘密運行CoinIMP挖礦程序。它通過硬編碼的憑證與配置，利用主機計算資源挖掘加密貨幣，且未設置任何資源使用限制，會占用主機全部算力。

主機上活躍的礦工來源

3. cppplayground等插件：遠程加載代碼，支持任意執行

TigerJack發布的第三類惡意插件（包括cppplayground、httpformat、pythonformat），會從硬編碼地址（ab498.pythonanywhere.com/static/in4.js）獲取JavaScript代碼并在主機執行。

該遠程地址每20分鐘會被插件輪詢一次，攻擊者無需更新插件，即可隨時推送新惡意代碼，實現“任意代碼執行”。

惡意功能

研究人員稱，這類插件比前兩類威脅更大，因其支持擴展功能，可靈活發起后續攻擊。

攻擊團伙偽裝手段與平臺響應

TigerJack是 “有組織的多賬號操作”，通過偽造獨立開發者身份掩蓋真實目的——包括搭建GitHub倉庫、設計品牌標識、列出詳細功能清單，以及使用與正規工具相似的插件名稱，增強偽裝可信度。

Koi Security已將相關發現報告給OpenVSX，但截至報告發布時，該注冊表維護方尚未回應，上述兩款惡意插件仍可下載。

惡意擴展已從VSCode中刪除（左），但仍可在OpenVSX（右）上使用來源

研究人員建議，使用該平臺獲取軟件的開發者，應僅從信譽良好、可信賴的發布者處下載插件，避免安裝來源不明的工具。

參考及來源：https://www.bleepingcomputer.com/news/security/malicious-crypto-stealing-vscode-extensions-resurface-on-openvsx/