你有没有听说最近在微软VSCode商店里发生的一件大事?没错,就是那些伪装成开发工具的挖矿恶意插件。这可不是闹着玩的,这些插件竟然悄无声息地潜入了我们的电脑,偷偷挖起了mask币和以太坊。咱们得好好来聊聊这个话题,毕竟,谁也不想自己的电脑成了别人的“矿场”啊!
伪装高手,潜伏VSCode
想象你正在VSCode里编写代码,突然发现一个看起来很专业的插件,比如“Discord Rich Presence for VS Code”或者“Solidity Compiler”。你心想:“哇,这插件真不错,能帮我提高工作效率。”你毫不犹豫地安装了它。你并不知道,这个插件其实是个伪装高手,它背后隐藏着一个秘密——挖矿程序!
这些恶意插件通过植入XMRig挖矿程序,悄无声息地开始挖掘以太坊和mask币。据安全专家Yuval Ronen透露,这些插件在VSCode商店的安装量已经超过了30万次!这可不是一个小数目,想想看,有多少人的电脑可能已经被这些恶意插件入侵了?
三步曲,你的电脑成“矿场”
那么,这些恶意插件是如何一步步将你的电脑变成“矿场”的呢?让我们来揭秘一下。
第一步,插件会从外部服务器拉取一个PowerShell脚本。这个脚本可是个高手,它会在你的电脑上创建一个名为“OnedriveStartup”的定时任务,并将恶意启动项写入Windows注册表。
第二步,脚本会关闭Windows更新服务,并将工作目录加入杀毒软件排除列表。这样一来,你的电脑就失去了自我保护的能力。
第三步,如果脚本没有获得管理员权限,它还会通过仿冒ComputerDefaults.exe程序及劫持MLANG.dll来实现提权。脚本解码base64格式的Launcher.exe,连接二级服务器下载XMRig矿工程序。
怎么样,是不是觉得这些恶意插件就像一个狡猾的间谍,悄无声息地潜入你的电脑,然后开始秘密行动?
攻击者野心,不止于此
更令人担忧的是,攻击者服务器上存在一个“/ npm /”目录,这暗示着他们可能同时针对Node.js包平台发起攻击。虽然目前尚未在NPM发现相关恶意文件,但这个线索足以让我们提高警惕。
想想看,如果这些恶意插件真的在NPM平台上传播,那后果将不堪设想。毕竟,NPM是许多开发者离不开的工具,一旦被恶意插件入侵,后果将不堪设想。
紧急行动,保护你的电脑
既然我们已经知道了这些恶意插件的危害,那么我们应该如何保护自己的电脑呢?
首先,不要轻易安装来历不明的插件。在安装任何插件之前,一定要仔细查看其评价和评论,确保它来自可靠的来源。
其次,定期更新你的操作系统和杀毒软件。这样可以确保你的电脑拥有最新的安全防护措施。
如果你已经安装了这些恶意插件,那么请立即卸载它们,并运行杀毒软件进行全面扫描。
这个事件给我们敲响了警钟。在数字化时代,网络安全问题不容忽视。让我们共同努力,保护好自己的电脑,远离这些恶意插件的侵害!