窃取加密货币的恶意 VSCode 插件在 OpenVSX 平台再度出现

一个名为“TigerJack”的网络犯罪组织继续以开发者为目标，通过在微软Visual Code插件市场和OpenVSX注册表中发布恶意插件，实现加密货币盗窃和后门植入。

其中两个恶意插件在VSCode 市场被下载了17000 次，随后被下架，但它们仍然存在于OpenVSX 平台上。此外，TigerJack还会以新名称在VSCode市场重新发布相同的恶意代码，以避免平台审查。

据悉，OpenVSX是一个由社区维护的开源插件市场。它定位为微软VSCode插件市场的替代品，提供独立的插件注册服务，无需厂商绑定。

它也是许多流行的VSCode 兼容编辑器的默认插件市场。由于技术或法律限制，这些编辑器无法使用微软的官方市场，通常包括Cursor 和Windsurf。

网络安全公司Koi Security 的研究人员发现了这次攻击。数据显示，今年以来TigerJack已经传播了至少11个恶意VSCode插件。

研究人员指出，此前从VSCode 市场下架的两个插件分别名为“C++ Playground”和“HTTP Format”。攻击者通过新账户重新列出这两个插件，并继续诱导开发者下载。

三类恶意插件的核心危害：源代码窃取、隐形挖矿、远程控制。 1. C++ Playground：近乎实时地窃取C++ 源代码。插件启动后，会为C++文件注册一个“文本文档更改监听器（onDidChangeTextDocument）”，用于将开发者的源代码传输到多个外部端点。为了实现近乎实时的捕捉，在代码编辑完成后约500毫秒就会触发监听程序，记录开发者的按键操作。

2. HTTP格式：伪装正常功能，允许后台无限挖矿。 Koi Security 表示，虽然HTTP Format 可以实现宣传的“HTTP 格式化”功能，但它会在后台秘密运行CoinIMP 挖矿程序。它通过硬编码的凭证和配置，使用主机的计算资源来挖掘加密货币，而无需设置任何资源使用限制，这将占用主机的所有计算能力。

主机上活跃矿工来源

3、cppplayground等插件：远程加载代码，支持任意执行TigerJack发布的第三类恶意插件（包括cppplayground、httpformat、pythonformat）。 JavaScript代码将从硬编码地址（ab498.pythonanywhere.com/static/in4.js）获取并在主机上执行。

插件将每20 分钟轮询一次远程地址。攻击者无需更新插件即可随时推送新的恶意代码，实现“任意代码执行”。

恶意功能

研究人员表示，这类插件比前两种更具威胁性，因为它支持扩展功能，可以灵活地发起后续攻击。

该攻击团伙的伪装手段及平台应对TigerJack是一种“有组织的多账户操作”，通过伪造独立开发者——的身份来掩盖其真实目的，包括搭建GitHub仓库、设计品牌标志、列出详细的功能列表、使用与正式工具类似的插件名称等，以增强伪装的可信度。

Koi Security 已向OpenVSX 报告了相关调查结果，但截至报告发布时，注册表维护者尚未做出回应，上述两个恶意插件仍然可供下载。

恶意扩展已从VSCode 中删除（左），但源代码在OpenVSX 上仍然可用（右）

研究人员建议，使用该平台获取软件的开发者应该只从信誉良好、值得信赖的发行商那里下载插件，并避免安装来源不明的工具。