資安廠商Koi Security揭露兩款上架於微軟VS Code市集的擴充套件,被證實會在開發者電腦安裝資訊竊取惡意程式,這兩款分別名為Bitcoin Black與Codo AI的擴充套件,分別偽裝成暗色主題與AI程式開發助理,在背景下載並啟動螢幕截圖與憑證竊取程式,能擷取桌面畫面、讀取儲存的WiFi密碼與瀏覽器工作階段。
研究人員指出,Bitcoin Black在描述上只是比特幣風格主題,但程式結構遠超出一般主題需求,不僅宣告在所有VS Code動作都會觸發的萬用啟動事件,還可執行PowerShell指令。早期版本透過PowerShell下載受密碼保護的壓縮檔並解壓,後續版本改為呼叫批次檔與curl直接下載可執行檔與DLL,且在隱藏視窗中執行,以降低被注意的機會。
Codo AI則提供透過ChatGPT或DeepSeek進行程式開發協助的介面,看起來與一般AI擴充套件無異,但研究人員卻在合法AI對話實作前找到一段額外插入的程式碼區塊,負責下載並啟動相同惡意載荷。兩款擴充套件由同一發行者BigBlack上架,共用相同惡意程式與基礎設施,被研判為同一攻擊者鎖定開發者族群。
兩款擴充套件最終都會投放正牌Lightshot螢幕截圖工具搭配惡意DLL,利用DLL劫持手法,在看似正常的Lightshot程序啟動時載入惡意程式。惡意程式會在應用程式資料目錄下建立名為Evelyn的資料夾,蒐集系統資訊、已安裝程式與執行中程序清單、剪貼簿內容、桌面截圖,以及已儲存的WiFi認證資料,並回傳至攻擊者控制的伺服器,同時在背景以無頭(Headless)模式啟動Chrome與Edge,讀取瀏覽器Cookie與登入工作階段資料,使帳號憑證與瀏覽器工作階段一併暴露。
研究人員提到,Bitcoin Black與Codo AI雖然安裝數不高,但因託管於官方擴充套件市集,對一般開發者仍具有相當可信度。外媒BleepingComputer報導,微軟發言人已證實這兩款惡意擴充套件已自VS Code市集下架。
熱門新聞
2025-12-12
2025-12-16
2025-12-15
2025-12-15
2025-12-15
2025-12-15
2025-12-16
2025-12-15