Kötü Amaçlı VSCode Eklentileri, Bilgisayarları Kripto Madencisine Dönüştürüyor

Microsoft’un Visual Studio Code Marketplace’inde yayınlanan dokuz zararlı VSCode eklentisi, geliştiricilere yönelik masum araçlar gibi görünerek kullanıcıların bilgisayarlarına XMRig kripto madencisini bulaştırıyor. Ethereum ve Monero madenciliği yapan bu kötü amaçlı yazılım, yüz binlerce kullanıcıyı etkileyebilir.

Yüksek İndirme Sayılarıyla Kullanıcılar Kandırılıyor

Araştırmacı Yuval Ronen tarafından tespit edilen bu eklentiler, 4 Nisan 2025 tarihinden bu yana 300 binden fazla indirme sayısına ulaşmış durumda. Uzmanlar, bu rakamların sahte olabileceğini ve kullanıcıları etkilemek için kasıtlı şekilde artırıldığını belirtiyor. Tehlikeli eklentiler şunlar:

• Discord Rich Presence for VS Code (Mark H) – 189K
• Rojo – Roblox Studio Sync (evaera) – 117K
• Solidity Compiler (VSCode Developer) – 1.3K
• Claude AI (Mark H)
• Golang Compiler (Mark H)
• ChatGPT Agent for VSCode (Mark H)
• HTML Obfuscator (Mark H)
• Python Obfuscator for VSCode (Mark H)
• Rust Compiler for VSCode (Mark H)

Kötü amaçlı eklentiler etkinleştirildiğinde, “asdf11[.]xyz” adresinden bir PowerShell betiği indiriyor ve çalıştırıyor. Ardından kullanıcıyı şüphelendirmemek için gerçek eklentiyi de yüklüyor. Zararlı betiğin yaptıkları şu şekilde:

• Windows Defender’ı devre dışı bırakıyor.
• “OnedriveStartup” adıyla bir zamanlanmış görev oluşturuyor.
• Windows Update gibi kritik hizmetleri kapatıyor.
• Yönetici izinleri elde etmek için DLL hijacking yöntemini kullanıyor.
• Son olarak, “myaunet[.]su” adresinden XMRig madencisini indiriyor.

Güvenlik konusuyla ilgili soruları yanıtlayan Microsoft sözcüsü, kötü amaçlı eklentilerin kaldırıldığını ve yayıncının engellendiğini duyurdu. Kullanıcıların herhangi bir işlem yapmasına gerek olmadığı belirtildi.