名为“TigerJack”的网络犯罪团伙持续将目标对准开发者，通过在微软Visual Code插件市场及OpenVSX注册表中发布恶意插件，实现加密货币窃取与后门植入。 

其中两款恶意插件在VSCode市场累计被下载1.7万次后遭下架，但目前仍存在于OpenVSX平台。此外，TigerJack还会以新名称在VSCode市场重新发布相同恶意代码，规避平台审核。

据悉，OpenVSX是社区维护的开源插件市场，定位为微软VSCode插件市场的替代选择，提供独立、无厂商绑定的插件注册服务。

它同时也是多款热门VSCode兼容编辑器的默认插件市场——这些编辑器因技术或法律限制无法使用微软官方市场，典型包括Cursor与Windsurf。

网络安全公司Koi Security的研究人员发现了此次攻击活动。数据显示，自今年年初以来，TigerJack已散布至少11款恶意VSCode插件。 

研究人员指出，此前从VSCode市场下架的两款插件分别名为“C++ Playground”与“HTTP Format”，而攻击者通过新账号将这两款插件重新上架，继续诱导开发者下载。

三类恶意插件的核心危害：窃取源码、隐秘挖矿、远程控机

1. C++ Playground：近实时窃取C++源码

该插件启动后，会为C++文件注册“文本文档变更监听程序（onDidChangeTextDocument）”，用于将开发者的源码外传至多个外部端点。为实现近实时捕获，监听程序会在代码编辑后约500毫秒触发，记录开发者的按键内容。

2. HTTP Format：伪装正常功能，后台无限制挖矿

Koi Security表示，HTTP Format虽能实现宣传的“HTTP格式化”功能，但会在后台秘密运行CoinIMP挖矿程序。它通过硬编码的凭证与配置，利用主机计算资源挖掘加密货币，且未设置任何资源使用限制，会占用主机全部算力。

主机上活跃的矿工来源

3. cppplayground等插件：远程加载代码，支持任意执行

TigerJack发布的第三类恶意插件（包括cppplayground、httpformat、pythonformat），会从硬编码地址（ab498.pythonanywhere.com/static/in4.js）获取JavaScript代码并在主机执行。

该远程地址每20分钟会被插件轮询一次，攻击者无需更新插件，即可随时推送新恶意代码，实现“任意代码执行”。

恶意功能

研究人员称，这类插件比前两类威胁更大，因其支持扩展功能，可灵活发起后续攻击。

攻击团伙伪装手段与平台响应

TigerJack是 “有组织的多账号操作”，通过伪造独立开发者身份掩盖真实目的——包括搭建GitHub仓库、设计品牌标识、列出详细功能清单，以及使用与正规工具相似的插件名称，增强伪装可信度。

Koi Security已将相关发现报告给OpenVSX，但截至报告发布时，该注册表维护方尚未回应，上述两款恶意插件仍可下载。

恶意扩展已从VSCode中删除（左），但仍可在OpenVSX（右）上使用来源

研究人员建议，使用该平台获取软件的开发者，应仅从信誉良好、可信赖的发布者处下载插件，避免安装来源不明的工具。

参考及来源：https://www.bleepingcomputer.com/news/security/malicious-crypto-stealing-vscode-extensions-resurface-on-openvsx/

文章来源：嘶吼专业版