近期，安全专家在微软 VSCode 扩展商店中发现了 9 款伪装成开发工具的恶意插件，这些插件暗中植入 XMRig 挖矿程序，秘密进行以太坊和门罗币的挖矿活动。这些插件伪装成热门开发工具，总安装量已突破 30 万次，包括 Discord Rich Presence 和 Roblox 同步工具等。安装后，插件会从外部服务器下载恶意脚本，通过创建定时任务、关闭 Windows 更新服务、提权等方式，最终下载 XMRig 矿工程序。目前，微软尚未下架涉事插件，用户需立即卸载并手动清理相关文件。

💻 微软 VSCode 扩展商店中发现了 9 款伪装成开发工具的恶意插件，这些插件伪装成热门开发工具，包括 Discord Rich Presence (18.9 万次安装) 和 Roblox 同步工具 Rojo (11.7 万次安装) 等。

⛏️ 这些恶意插件植入了 XMRig 挖矿程序，秘密开采以太坊和门罗币。插件安装后，会从外部服务器下载 PowerShell 脚本，该脚本会创建名为 "OnedriveStartup" 的定时任务，并将恶意启动项写入 Windows 注册表。

🛡️ 脚本还会关闭 Windows 更新服务，并将工作目录加入杀毒软件排除列表。若未获管理员权限，则通过仿冒 ComputerDefaults.exe 程序及劫持 MLANG.dll 实现提权。最终，脚本解码 base64 格式的 Launcher.exe，连接二级服务器下载 XMRig 矿工程序。

⚠️ 攻击者服务器存在 / npm / 目录，暗示其可能同时针对 Node.js 包平台发起攻击，但目前尚未在 NPM 发现相关恶意文件。安全专家建议受影响用户立即卸载插件，并手动删除相关注册表项、定时任务及 C:\ProgramData\Launcher 目录。

IT之家 4 月 8 日消息，科技媒体 bleepingcomputer 昨日（4 月 7 日）发布博文，报道称安全专家在微软 VSCode 扩展商店中，发现了 9 款伪装成开发工具的恶意插件。这些插件通过植入 XMRig 挖矿程序，秘密开采以太坊和门罗币。

网络安全公司 ExtensionTotal 研究员 Yuval Ronen 发现，微软 VSCode 扩展商店中 9 款插件实为挖矿木马。这些插件伪装成热门开发工具，包括 Discord Rich Presence（18.9 万次安装）、Roblox 同步工具 Rojo（11.7 万次安装）及多款编程语言编译器。IT之家附上列表如下：

Discord Rich Presence for VS Code (by `Mark H`)

Rojo – Roblox Studio Sync (by `evaera`)

Solidity Compiler (by `VSCode Developer`)

Claude AI (by `Mark H`)

Golang Compiler (by `Mark H`)

ChatGPT Agent for VSCode (by `Mark H`)

HTML Obfuscator (by `Mark H`)

Python Obfuscator for VSCode (by `Mark H`)

Rust Compiler for VSCode (by `Mark H`)

所有插件均标注为 2025 年 4 月 4 日发布，总安装量已突破 30 万次，但实际数据可能被恶意刷高以吸引更多用户。

安装后，插件会从外部服务器（asdf11xyz）拉取 PowerShell 脚本。该脚本分三步实施攻击：首先创建名为 "OnedriveStartup" 的定时任务，并将恶意启动项写入 Windows 注册表。

随后关闭 Windows 更新服务，并将工作目录加入杀毒软件排除列表；若未获管理员权限，则通过仿冒 ComputerDefaults.exe 程序及劫持 MLANG.dll 实现提权。最终，脚本解码 base64 格式的 Launcher.exe，连接二级服务器（myaunetsu）下载 XMRig 矿工程序。

值得注意的是，攻击者服务器存在 / npm / 目录，暗示其可能同时针对 Node.js 包平台发起攻击，但目前尚未在 NPM 发现相关恶意文件。

ExtensionTotal 已向微软报告此事，但截至发稿涉事插件仍未下架，安全专家建议受影响用户立即卸载插件，并手动删除相关注册表项、定时任务及 C:\ProgramData\Launcher 目录。