微軟 Visual Studio Code Marketplace 上的兩個惡意擴充程式會感染開發者的計算機，植入竊取資訊的惡意軟體，這些惡意軟體可以截取螢幕截圖、竊取憑證、加密錢包並劫持瀏覽器會話。這兩個惡意擴充功能分別名為 Bitcoin Black 和 Codo AI，它們偽裝成顏色主題和 AI 助手，並以開發者名稱「BigBlack」發布。

這兩個擴充功能都提供了一個合法的 Lightshot螢幕截圖工具可執行檔和一個惡意 DLL 文件，該文件透過 DLL 劫持技術加載，以 runtime.exe 的名稱部署資訊竊取程式。該惡意軟體在「%APPDATA%\Local\」中建立一個目錄，並建立一個名為 Evelyn 的目錄來儲存竊取的資料：有關正在運行的進程的詳細資訊、剪貼簿內容、WiFi 憑證、系統資訊、螢幕截圖、已安裝程式清單和正在運行的進程。

BleepingComputer 已就應用程式商店中出現這些擴充功能一事聯繫了微軟，但目前尚未收到回覆。為了組織的安全，開發者可以透過僅從信譽良好的發布者安裝專案來最大限度地降低惡意 VSCode 擴充功能的風險。

這些惡意擴充功能是針對廣受歡迎的 Visual Studio Code 整合開發環境 (IDE) 的供應鏈攻擊範例。在被安全公司 Koi Security 詳細揭露時，儘管 Codo AI 的下載量不到 30 次，而 Bitcoin Black 僅有一次安裝，但它們的存在突顯了官方擴充功能商店的安全漏洞。特別是 Bitcoin Black，它利用了一個 "*" 激活事件，這意味著它會在每次 VSCode 操作時執行，並且包含了主題擴充功能本不應該擁有的 PowerShell 程式碼執行能力，這本身就是一個重大的危險訊號。

研究人員指出，在較舊的版本中，Bitcoin Black 使用 PowerShell 腳本下載受密碼保護的存檔有效載荷，這會導致一個可見的 PowerShell 視窗，或許能引起使用者警覺。然而，在較新的版本中，整個過程被替換為一個批次腳本（bat.sh），透過 curl 下載 DLL 文件和可執行文件，並且所有活動都在視窗隱藏的狀態下完成，極大地增加了偵測難度。

為了成功竊取會話 Cookie 並劫持使用者會話，該惡意軟體還會以無頭模式（headless mode）啟動 Chrome 和 Edge 等瀏覽器，以便竊取瀏覽器中儲存的 Cookie。此外，它還會積極尋找並竊取加密貨幣錢包，例如 Phantom、Metamask 和 Exodus 等知名錢包的資料。這些功能顯示，駭客的最終目的是利用開發者帳戶的高權限和存取敏感系統的能力，進行更深層次的網路間諜活動或經濟利益竊取。

此次事件再次敲響警鐘，提醒開發人員不要完全依賴 Marketplace 的審核機制。除了僅從信譽良好的發布者安裝項目外，開發者和安全團隊還應警惕任何要求不必要權限（例如主題要求執行 PowerShell）的擴充功能。此外，應持續監控系統中是否有未經授權的程序執行，特別是與 VSCode 活動相關聯、但在隱藏視窗中運行的異常程序，以防止類似的資訊竊取惡意軟體對開發環境造成難以估量的損害。

資料來源：https://www.bleepingcomputer.com/news/security/malicious-vscode-extensions-on-microsofts-registry-drop-infostealers/