【安全资讯】恶意加密货币窃取类VSCode扩展在OpenVSX平台重现

概要：

网络安全研究人员近期发现，名为TigerJack的黑客组织持续针对开发者发起攻击，通过在Microsoft VSCode官方市场和OpenVSX注册表发布恶意扩展程序，窃取加密货币并植入后门。这一事件凸显了软件供应链安全面临的严峻挑战，特别是针对开发工具的恶意代码投放可能造成大规模数据泄露和系统入侵。

主要内容：

根据Koi Security研究团队披露，TigerJack组织自年初以来已分发至少11个恶意VSCode扩展。其中两个名为C++ Playground和HTTP Format的扩展在VSCode市场被下架前已获得17,000次下载，但仍在OpenVSX平台保持活跃。

C++ Playground扩展通过注册监听器（onDidChangeTextDocument）实时捕获C++文件编辑内容，以500毫秒间隔将源代码外传到多个外部端点。HTTP Format扩展则在后台秘密运行CoinIMP矿机，使用硬编码凭证配置，无限制占用主机算力进行加密货币挖矿。

更具威胁的是cppplayground、httpformat和pythonformat等扩展，它们每20分钟从固定地址（ab498.pythonanywhere.com/static/in4.js）拉取JavaScript代码执行。这种动态载荷机制使得攻击者无需更新扩展即可任意部署恶意负载，包括窃取凭证、投放勒索软件或将受感染设备作为企业网络入侵跳板。

研究人员指出TigerJack采用多账户协同作战策略，通过伪造GitHub仓库、品牌形象和功能描述伪装成独立开发者。尽管已向OpenVSX平台报告，相关恶意扩展截至发稿时仍可下载，建议开发者仅从可信发布者获取软件包。