Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Tiện ích mở rộng VSCode độc hại trên Microsoft có thể làm rò rỉ dữ liệu

10:56 | 10/12/2025
Mai Vũ

Theo Công ty an ninh mạng Koi Security, hai tiện ích mở rộng độc hại trên VSCode Marketplace của Microsoft lây nhiễm máy tính của nhà phát triển bằng mã độc đánh cắp thông tin, có khả năng chụp ảnh màn hình, đánh cắp thông tin đăng nhập, ví tiền điện tử và chiếm quyền điều khiển phiên trình duyệt.

Hai tiện ích này có tên là Bitcoin Black và Codo AI, ngụy trang thành chủ đề về màu sắc và trợ lý AI, được phát hành dưới tên nhà phát triển là “BigBlack”. Tại thời điểm hiện tại, Codo AI vẫn còn trên Marketplace, mặc dù chỉ có chưa đến 30 lượt tải xuống. Trong khi đó, bộ đếm (counter) của Bitcoin Black chỉ hiển thị một lượt cài đặt.

CodoAI trên VSCode Marketplace

Koi Security cho biết, tiện ích Bitcoin Black có sự kiện kích hoạt “*” được thực thi trên mọi hành động VSCode, đồng thời cũng có thể chạy mã PowerShell. Trong các phiên bản cũ hơn, Bitcoin Black sử dụng một tập lệnh PowerShell để tải xuống một payload lưu trữ được bảo vệ bằng mật khẩu, tạo ra một cửa sổ PowerShell có thể nhìn thấy và cảnh báo người dùng.

Tuy nhiên, trong các phiên bản gần đây hơn, tiến trình chuyển sang một tập lệnh batch script (bat[.]sh) gọi “curl” để tải DLL và tệp thực thi, đồng thời hoạt động này diễn ra với một cửa sổ ẩn.

Payload độc hại từ bat[.]sh

Nhà nghiên cứu Idan Dardikman của Koi Security cho biết, Codo AI có chức năng hỗ trợ code thông qua ChatGPT hoặc DeepSeek, nhưng nó cũng bao gồm một phần độc hại.

Cả hai tiện ích mở rộng đều cung cấp tệp thực thi hợp lệ của công cụ chụp màn hình Lightshot và tệp DLL độc hại được tải thông qua kỹ thuật DLL hijacking, để triển khai phần mềm đánh cắp thông tin dưới tên runtime[.]exe.

Theo Dardikman, 29 trong số 72 công cụ diệt vi-rút trên Virus Total đánh dấu tệp DLL là mối đe dọa. Phần mềm độc hại tạo một thư mục trong “%APPDATA%\Local\” và thư mục “Evelyn” để lưu trữ dữ liệu bị đánh cắp, bao gồm: thông tin chi tiết về các tiến trình đang chạy, nội dung clipboard, thông tin đăng nhập WiFi, thông tin hệ thống, ảnh chụp màn hình, danh sách các chương trình đã cài đặt và các tiến trình đang chạy.

Thư mục Evelyn được tạo ra để lưu trữ dữ liệu bị đánh cắp

Để đánh cắp cookie và chiếm đoạt phiên làm việc của người dùng, phần mềm độc hại sẽ khởi chạy trình duyệt Chrome và Edge ở chế độ không giao diện, nhằm có thể đánh cắp cookie đã lưu trữ và chiếm đoạt phiên làm việc của người dùng. Mặt khác, mã độc này cũng đánh cắp các ví tiền điện tử như Phantom, Metamask, Exodus, nó tìm kiếm mật khẩu và thông tin đăng nhập

Các tiện ích mở rộng VSCode độc ​​hại đã được đưa lên các nền tảng cung cấp tiện ích mở rộng với IDE VSCode, chẳng hạn như OpenVSX và Visual Studio Code, một trong những chiến dịch đáng chú ý nhất là Glassworm. Koi Security khuyến cáo, các nhà phát triển có thể giảm thiểu rủi ro từ tiện ích mở rộng VSCode độc ​​hại bằng cách chỉ cài đặt các dự án từ các nhà phát hành có uy tín và phổ biến.

Twitter Zalo Facebook YouTube Copy Link QR Code
DLL HIJACKING BATCH VÍ TIỀN ĐIỆN TỬ CHIẾM QUYỀN ĐIỀU KHIỂN ĐÁNH CẮP THÔNG TIN TẬP LỆNH CODO AI REGISTRY POWERSHELL VSCODE CHỤP ẢNH MÀN HÌNH MICROSOFT BITCOIN BLACK ĐÁNH CẮP COOKIE MARKETPLACE VISUAL STUDIO CODE TIỆN ÍCH MỞ RỘNG
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết