近日，安全研究人员发现Visual Studio Code编辑器存在恶意扩展程序，伪装成常用工具和AI扩展，诱骗用户安装后秘密运行门罗币挖矿程序。这些扩展程序会下载并执行PowerShell脚本，创建计划任务、修改注册表，甚至关闭Windows Update服务，以逃避检测。受影响的用户可能面临CPU占用过高、系统卡顿等问题。微软已收到报告，但用户仍需谨慎，建议检查已安装的扩展程序，并使用其他杀毒软件进行全面扫描。

💻 恶意扩展程序伪装：这些扩展程序冒充 Prettier、Discord Rich Presence 等常用工具和AI扩展，诱骗用户安装，其中一些扩展程序安装量巨大，例如 Prettier – Code for VSCode by PrettierTeam，安装量高达48.6万次。

⚙️ 恶意行为：这些扩展程序激活后会下载并运行PowerShell脚本，该脚本创建名为OnedriveStartup的计划任务，并将启动器注入注册表。同时，它会关闭Windows Update服务，并将恶意程序目录添加到Microsoft Defender的排除项中，以逃避查杀。

⛏️ 挖矿程序植入：脚本会从hxxp://myaunet.su域名下载门罗币挖矿脚本XMRig，利用用户的CPU进行挖矿。用户可能会观察到PC风扇高速运转和系统变卡等现象。

🛡️ 防御建议：用户应检查VS Code是否安装了这些恶意扩展，即便删除扩展也可能无法完全清除威胁。建议使用其他杀毒软件进行全盘查杀，并检查Microsoft Defender的排除目录，删除已知的排除目录后再进行检测。

Visual Studio Code 是微软推出的开源免费代码编辑器，该代码编辑器还包含市场用来提供各种各样的扩展程序，这些扩展程序大部分是第三方开发者提供的因此也难免存在恶意扩展。

ExtensionTotal 的安全研究人员 Yuval Ronen 日前就发现 10 个新的恶意扩展程序，这些扩展程序冒充工具和 AI 扩展程序，实则会在安装后再安装 XMRig，这是一个开源的门罗币挖矿程序，可以利用用户的 CPU 进行挖矿。

这些扩展程序名称为：

Prettier – Code for VSCode by PrettierTeam – 48.6万次安装(注意其冒充 Prettier – Code formatter 扩展)

Discord Rich Presence for VS Code (by `Mark H`) – 18.9 万次安装

Rojo – Roblox Studio Sync (by `evaera`) – 11.7 万次安装

Solidity Compiler (by `VSCode Developer`) – 1300 次安装

Claude AI (by `Mark H`)

Golang Compiler (by `Mark H`)

ChatGPT Agent for VSCode (by `Mark H`)

HTML Obfuscator (by `Mark H`)

Python Obfuscator for VSCode (by `Mark H`)

Rust Compiler for VSCode (by `Mark H`)

研究人员已经向微软报告这些扩展程序，不过可能出于谨慎考虑避免再出现上次误封情况，这些扩展程序暂时还可以继续下载和安装，如果微软确定存在问题的话可以直接下架并封禁开发者账号，同时还会远程禁用用户已经安装的这些扩展程序。

分析显示这些扩展程序在被激活后会联系 hxxp://asdf11.xyz (这个域名注册的也确实够随意) 下载 Powershell 脚本并运行，值得注意的是这些恶意扩展的部分功能还能使用，确保安装的开发者不会发现什么异常。

下载脚本并运行后，脚本会创建一个名为 OnedriveStartup 的计划任务，也就是冒充 OneDrive 启动项，同时还在注册表里注入脚本确保名为 Launcher.exe 的启动器可以开机自启动。

接着这个恶意软件还会关闭 Windows Update 等服务、将其目录添加到 Microsoft Defender 排除项里，也就是即便后面微软更新病毒库也会将其排除在查杀列表外。

最后脚本会通过 hxxp://myaunet.su 域名下载门罗币挖矿脚本 XMRig，如果用户观察到 PC 风扇高速运转以及系统变卡，则需要检查 VS Code 是否安装了这些扩展，但即便删除扩展应该也没用，最好还是找个其他杀毒软件进行全盘查杀，毕竟 Microsoft Defender 无法检测出来。

注：Microsoft Defender 是可以检出门罗币挖矿脚本的，如果用户检查排除目录并删除已知的排除目录再用 Defender 检测应该可以发现挖矿脚本。