悪性VSCode拡張機能がWindowsシステムを標的にクリプトマイナーを配布

佐々山 Tacos

2025.04.08

悪性VSCode拡張機能がWindowsシステムを標的にクリプトマイナーを配布

ExtensionTotal – April 7, 2025

マイクロソフトのVisual Studio Code マーケットプレース上で、正規の開発ツールを装いながらも実際にはユーザーをクリプトマイナーXMRigへ感染させる悪性VSCode拡張機能が10件見つかったという。ExtensionTotalの研究者Yuval Ronen氏が報告した。

以下10件の悪性拡張機能は、2025年4月4日に異なる作者3名によって公開されているが、いずれもインストール・アクティベートされた後の挙動は同一で、C2サーバーおよびC2からダウンロード・実行されるペイロードも同じ。短期間でこれほどインストール数が多いのは、これらの数値が人為的に上乗せされたためである可能性が高いという。なお、現時点でこれらの拡張機能は使用できなくなっている模様。

Prettier — Code for VSCode（作者：prettier） – インストール数：95万5千
Discord Rich Presence for VS Code（作者：Mark H） – 18万9千
Rojo — Roblox Studio Sync (作者：evaera） – 11万7千
Solidity Compiler（作者：VSCode Developer） – 1,300
Claude AI（作者：Mark H）
Golang Compiler（作者：Mark H）
ChatGPT Agent for VSCode（作者：Mark H）
HTML Obfuscator（作者：Mark H）
Python Obfuscator for VSCode（作者：Mark H）
Rust Compiler for VSCode（作者：Mark H）

インストールされるとまず、これらの拡張機能は外部ソース（https://asdf11[.]xyz/）からPowerShellスクリプトを取得して実行し、それが終わると自らのなりすまし対象である正規の拡張機能もインストールする。これにより、ユーザーからは疑いの目を向けられない。PowerShellスクリプトは「OnedriveStartup」を装ったスケジュールされたタスクを作成すると、システム起動時にマルウェア（Launcher.exe）が実行されるようWindows レジストリにスクリプトを注入。次に、Windows Updateなどの重要なWindowsサービスをオフにして自身のワーキングディレクトリをWindows Defenderの除外リストに追加し、検出されるのを回避できるようにするという。

このPowerShellローダーはLauncher.exeを管理者権限で実行しようとするが、この権限がない場合にはシステムバイナリComputerDefaults.exeを装い、悪意あるMLANG.dllを使ってDLLハイジャッキングを行うことで権限を昇格。その後実行されるLauncher.exeはbase64でエンコードされているが、ローダーによってデコードされると2つ目のサーバーmyaunet[.]suに接続し、モネロのマイナーであるXMRigをダウンロード・実行する。

ExtensionTotalの発見を受けて独自に調査を行ったBleepingComputer紙は、この脅威アクターのリモートサーバーには/npm/フォルダーも存在することを発見。このクリプトマイナーキャンペーンがnpm上でも行われている可能性があるとの見解を示したが、同紙ではまだnpmプラットフォーム上で有害ファイルを見つけることはできていないという。

すでに上記いずれかの拡張機能をインストールしてしまったユーザーはこれをすぐに削除し、手動でコインマイナーやスケジュールされたタスク、レジストリキー、およびマルウェアディレクトリの特定・削除を実施することが望ましいとのこと。