Дослідники виявили нову хвилю шкідливих розширень для VSCode, які під псевдо-корисних інструментів крадуть вихідний код, майнять криптовалюту та здатні виконувати довільний код через OpenVSX — альтернативний реєстр, де деякі з розширень досі доступні.
Атака приписується оператору під іменем TigerJack. Дослідники з Koi Security виявили принаймні 11 зловмисних розширень, частина з яких мала тисячі завантажень у Microsoft Marketplace до видалення, але залишилася доступною на OpenVSX. Серед зловмисних компонентів помічені три основні поведінки:
Крадіжка коду / ексфільтрація: розширення (наприклад, `C++ Playground`) реєструє слухача змін у файлах і відправляє фрагменти коду на віддалені сервери (практика, близька до кейлогера для коду).
Майнер на хості: інше розширення (`HTTP Format`) працює як нормальна утиліта, але у фоновому режимі запускає CoinIMP-майнер без обмежень використання ресурсів.
Динамічне виконання віддаленого коду: деякі пакети підвантажують JS-код з жорстко закодованих адрес та виконують його на машині жертви (polling кожні ~20 хвилин), що дозволяє оператору «пушити» будь-який шкідливий модуль без оновлення розширення.
Дослідники також підкреслюють, що TigerJack працює через мульти-акаунти з виглядом легітимних проектів (GitHub, брендинг), що ускладнює швидку верифікацію. Koi Security повідомили OpenVSX, але на момент публікації два шкідливих пакети лишалися доступними.
OpenVSX — це відкрита альтернатива офіційному Marketplace Microsoft і служить дефолтним реєстром для сумісних редакторів (Cursor, Windsurf тощо). Наявність альтернативних реєстрів дає більше свободи, але також збільшує ризик розміщення неусвідомлено шкідливих пакетів. Схожі кампанії вже траплялися раніше: оператори масово публікували зловмисні розширення, що потрапляли до користувачів під виглядом корисних інструментів.
Розробникам і DevOps-командам слід негайно:
1. Перевірити встановлені розширення у VSCode/сумісних редакторах на підозрілі пакети (особливо ті, що не мають репутації або мають сумнівні репозиторії).
2. Завантажувати розширення лише від перевірених видавців і читати код/пермісії у сумнівних випадках.
3. Використовувати ізольовані середовища (контейнери / VM) для запуску невідомих інструментів і застосовувати EDR/IDS для виявлення майнінгу чи екзфільтрації.
4. Відстежувати повідомлення Koi Security та реєстрів — і, за можливості, блокувати доступ до відомих адрес C2.
