17 тысяч загрузок и ноль реакции: почему вредоносные расширения до сих пор доступны в каталоге OpenVSX?

leer en español

Koi Security TigerJack VSCode OpenVSX расширения криптоджекер вредоносный код
17 тысяч загрузок и ноль реакции: почему вредоносные расширения до сих пор доступны в каталоге OpenVSX?
Koi Security TigerJack VSCode OpenVSX расширения криптоджекер вредоносный код

Microsoft удалила зловреды из своего магазина, но альтернативные площадки игнорируют угрозу.

image

Некоторые расширения для Visual Studio Code, распространяемые через открытый репозиторий OpenVSX, до сих пор содержат вредоносный код, направленный на кражу криптовалюты и компрометацию машин разработчиков. За рассылкой стоит группа TigerJack, которая использует фальшивые учётные записи и маскирует свои инструменты под легитимные плагины с полноценным описанием, репозиториями на GitHub и продуманным брендингом.

На платформе OpenVSX по-прежнему доступны два вредоносных расширения, ранее удалённые из официального магазина Microsoft после того, как их суммарно скачали более 17 тысяч раз. При этом те же самые плагины уже были повторно загружены в Visual Studio Code под новыми именами, что говорит о систематическом характере атаки. Весь этот набор вредоносных инструментов направлен в первую очередь на пользователей редакторов, совместимых с VSCode, но не использующих оригинальный магазин Microsoft — таких как Cursor и Windsurf.

Специалисты из Koi Security установили, что расширение «C++ Playground» после установки начинает следить за редактированием исходников, регистрируя каждое изменение в C++-файлах через обработчик onDidChangeTextDocument. С интервалом примерно в полсекунды оно отправляет обновлённый текст на внешние серверы, позволяя злоумышленникам перехватывать код в режиме реального времени.

Второе расширение — «HTTP Format» — внешне работает штатно, но одновременно запускает скрытую майнинговую программу CoinIMP. Она использует жёстко прописанные настройки и логины, не ограничивая при этом потребление ресурсов — вредонос нагружает процессор на максимум для нелегальной добычи криптовалюты.

Ещё одна категория вредоносных плагинов, включая cppplayground, httpformat и pythonformat, подключается каждые 20 минут к удалённому адресу ab498.pythonanywhere.com/static/in4.js и исполняет JavaScript-код, загруженный с этого сервера. Такой механизм позволяет злоумышленникам динамически передавать любые полезные нагрузки без необходимости обновления самого расширения.

Это делает подобный подход особенно опасным — с его помощью можно не только воровать ключи доступа и учётные данные, но и развернуть шифровальщик, встроить закладки в проект или использовать машину разработчика как точку входа во внутреннюю сеть компании.

По оценке Koi Security, действия TigerJack являются частью скоординированной операции с множественными аккаунтами. Все вредоносные расширения публикуются под видом разных авторов, каждый из которых якобы представляет надёжного разработчика. Публикуемые профили снабжаются открытым кодом, подробным описанием функций и названиями, схожими с настоящими популярными инструментами.

О всех находках уже было сообщено администраторам OpenVSX, однако на момент публикации ответа от команды поддержки получено не было, и вредоносные плагины оставались в открытом доступе.