近日，科技安全領域傳來一則警報，知名科技博客bleepingcomputer揭露了一起針對微軟Visual Studio Code（VSCode）擴展商店的攻擊事件。安全專家在該平臺上發現了九款表面看似開發工具，實則暗藏XMRig挖礦程序的惡意插件。

這些插件精心偽裝成開發者常用的工具，如Discord Rich Presence、Roblox同步工具Rojo，以及多種編程語言的編譯器，通過誘人的功能描述吸引用戶安裝。據統計，這些惡意插件的總安裝量已超過30萬次，盡管實際數字可能因惡意刷量而偏高。

網絡安全公司ExtensionTotal的研究員Yuval Ronen是此次事件的發現者之一。他指出，這些插件不僅偽裝得極具迷惑性，而且發布日期統一標注為2025年4月4日，顯然是為了掩蓋其真實上線時間。

一旦用戶安裝了這些插件，它們便會悄悄從外部服務器（asdf11xyz）下載并執行PowerShell腳本。該腳本的執行流程相當復雜且隱蔽：首先，它會在Windows系統中創建一個名為“OnedriveStartup”的定時任務，并將惡意啟動項寫入注冊表，以確保在系統啟動時自動運行。

緊接著，腳本會關閉Windows更新服務，并將工作目錄添加到殺毒軟件的排除列表中，以降低被檢測到的風險。若當前用戶權限不足，腳本還會通過仿冒系統程序及劫持關鍵系統文件（如MLANG.dll）的方式，嘗試提升權限。

最終，腳本會解碼一個base64格式的Launcher.exe文件，并連接到二級服務器（myaunetsu）下載并運行XMRig挖礦程序。這一連串的操作，使得攻擊者能夠在用戶不知情的情況下，利用受害者的計算機資源秘密開采以太坊和門羅幣。

值得注意的是，安全專家在分析攻擊者服務器時，還發現了一個名為/npm/的目錄。這一發現引發了業界對于Node.js包平臺可能遭受類似攻擊的擔憂。然而，截至目前，尚未在NPM平臺上發現與此次事件相關的惡意文件。

ExtensionTotal公司已及時將此事報告給微軟，但遺憾的是，在報道發布時，涉事的惡意插件仍未被下架。因此，安全專家強烈建議所有可能受影響的VSCode用戶立即卸載這些插件，并手動刪除相關的注冊表項、定時任務以及C:ProgramDataLauncher目錄，以防止攻擊者繼續利用這些惡意插件進行挖礦活動。

此次事件再次凸顯了網絡安全的重要性，尤其是在開發者社區中。隨著技術的不斷發展，攻擊者的手段也日益狡猾和隱蔽。因此，保持警惕、及時更新安全補丁、以及定期掃描和清理系統，成為了每位開發者不可或缺的安全習慣。

同時，對于平臺方而言，加強擴展商店的審核機制、提高安全檢測能力、以及及時響應和處理安全事件，也是保障用戶安全、維護平臺聲譽的重要舉措。