VS Code độc hại khai thác Registry Windows đánh cắp mật khẩu WiFi và chụp lại màn hình

[WhiteHat Team]

Một chiến dịch tấn công mới đang nhắm thẳng vào cộng đồng lập trình viên thông qua các tiện ích mở rộng của Visual Studio Code (nền tảng phát triển mã nguồn phổ biến nhất thế giới). Dưới lớp vỏ là những công cụ hỗ trợ lập trình quen thuộc, các tiện ích giả mạo này lại cài cắm mã độc đánh cắp dữ liệu, chiếm quyền trình duyệt và ghi lại toàn bộ hoạt động trên màn hình. Phát hiện này đặt ra cảnh báo nghiêm trọng vè môi trường phát triển vốn là “trái tim” của quy trình làm phần mềm, đang trở thành mục tiêu tấn công trực tiếp của các nhóm tin tặc.

​

Tiện ích giả mạo trong VS Code - mối đe dọa bị che giấu tinh vi​

Vụ việc được các nhà nghiên cứu tại Koi Security phát hiện khi phân tích hai tiện ích có tên Bitcoin Black và Codo AI trên Visual Studio Code Marketplace. Cả hai đều được giới thiệu như những công cụ hữu ích cho lập trình viên, một bên là chủ đề giao diện tối lấy cảm hứng từ Bitcoin, bên còn lại là trợ lý AI. Tuy nhiên, bên trong là mã độc có khả năng xâm nhập sâu vào hệ thống.

Bitcoin Black, vốn được quảng cáo chỉ là một “theme VS Code”, lại chứa các tệp kích hoạt và script PowerShell chạy ngầm mỗi khi người dùng mở trình soạn thảo. Script này âm thầm tải xuống mã độc, quét các thông tin hệ thống và trích xuất mật khẩu Wi-Fi thông qua registry của Windows.

Codo AI (tiện ích hỗ trợ AI tích hợp ChatGPT và DeepSeek) lại sử dụng đoạn mã JavaScript bị làm rối trong file extension.js để cài đặt một công cụ đánh cắp thông tin nền. Công cụ này được triển khai bằng kỹ thuật DLL hijacking, lợi dụng trình ký số hợp lệ của Windows để nạp một file DLL độc hại mà người dùng không hề hay biết.

Cơ chế hoạt động tinh vi: Từ đánh cắp mật khẩu đến chiếm quyền duyệt web​

Cả hai tiện ích độc hại đều triển khai một biến thể bị chỉnh sửa của công cụ chụp màn hình hợp pháp Lightshot nhưng được đóng gói kèm tệp Lightshot.dll độc hại. Khi chạy, phần mềm độc hại thực hiện hàng loạt hành vi nguy hiểm:

• Chụp ảnh màn hình và ghi lại dữ liệu clipboard.
• Gửi danh sách tiến trình đang chạy và thông tin cấu hình hệ thống về máy chủ của tin tặc.
• Truy cập mật khẩu Wi-Fi lưu trong registry.
• Mở trình duyệt Chrome và Microsoft Edge ở chế độ "headless" (ẩn hoàn toàn), rồi chiếm đoạt cookie đăng nhập, phiên duyệt web và tài khoản đang hoạt động.

Kỹ thuật này được MITRE ATT&CK phân loại theo mã T1539 (đánh cắp cookie phiên) và T1574.001 (DLL Side-Loading).

Dữ liệu sau đó được gửi về máy chủ điều khiển (C2) của tin tặc, bao gồm các tên miền như syn1112223334445556667778889990.org và server09.mentality.cloud:40207. Để tránh bị phát hiện, mã độc còn tạo mutex tên COOL_SCREENSHOT_MUTEX_YARRR nhằm đảm bảo chỉ một phiên bản chạy trong hệ thống.

Hackers liên tục cải tiến đường tấn công​

Các nhà nghiên cứu cho biết họ đã thu thập được nhiều phiên bản của hai tiện ích, gồm các bản phát hành 2.5.0 và 3.3.0. Điều này cho thấy chiến dịch liên tục được cập nhật, tinh chỉnh script để giảm tiếng ồn, ẩn cửa sổ dòng lệnh và ngăn việc chạy lại nhiều lần.

Dù Microsoft đã gỡ Bitcoin Black khỏi Marketplace, tiện ích Codo AI vẫn còn tồn tại trong thời gian các chuyên gia phân tích, cho thấy tốc độ kiểm duyệt chưa theo kịp sự tinh vi của các biến thể mã độc mới.

Rủi ro và tác động đối với cộng đồng lập trình viên​

Hậu quả của việc cài đặt các tiện ích độc hại này có thể rất nghiêm trọng:

• Môi trường phát triển, mã nguồn, token API và private key có thể bị xâm phạm.
• Tài khoản email, quản trị server, quản lý mã nguồn (GitHub, GitLab) có thể bị chiếm quyền.
• Tin tặc có thể chiếm đoạt phiên đăng nhập trình duyệt, kể cả dịch vụ cloud và ngân hàng.
• Toàn bộ màn hình và thao tác làm việc của lập trình viên có thể bị ghi lại theo thời gian thực.

Với các doanh nghiệp có đội ngũ DevOps hoặc lập trình viên làm việc với hạ tầng nội bộ, đây là nguy cơ tấn công chuỗi cung ứng phần mềm (supply chain attack) cực kỳ nghiêm trọng.

Giải pháp phòng tránh và khuyến nghị​

Các chuyên gia an ninh mạng đưa ra nhiều cảnh báo và khuyến nghị cho cộng đồng:

• Kiểm tra toàn bộ tiện ích đã cài trong VS Code và gỡ ngay các extension từ publisher “BigBlack”.
• Ưu tiên sử dụng tiện ích có nhà phát triển uy tín, nhiều lượt tải và mã nguồn công khai.
• Bật Windows Defender, Microsoft Security for Endpoint hoặc giải pháp EDR để phát hiện hành vi bất thường.
• Theo dõi các tiến trình ngầm, sự kiện registry bất thường và truy cập file DLL bất hợp lệ.
• Cập nhật trình duyệt, hệ điều hành và Visual Studio Code lên phiên bản mới nhất.
• Thiết lập chính sách cấm cài extension không được kiểm duyệt trong môi trường doanh nghiệp.

Đặc biệt, các nhóm kỹ thuật nên triển khai sandbox hoặc container hóa môi trường lập trình nhằm cô lập rủi ro. Chiến dịch tấn công thông qua tiện ích Visual Studio Code lần này cho thấy các nhóm tin tặc đang dịch chuyển mục tiêu sang chính những công cụ lập trình mà nhà phát triển sử dụng hàng ngày. Chỉ một cú “Install Extension” có thể mở ra cánh cửa cho việc đánh cắp dữ liệu, chiếm quyền tài khoản hay xâm phạm hệ thống doanh nghiệp. Đây là lời nhắc nhở mạnh mẽ rằng không chỉ phần mềm vận hành, mà cả những công cụ hỗ trợ phát triển cũng cần được quản lý chặt chẽ và kiểm tra an ninh thường xuyên. Trong bối cảnh các cuộc tấn công vào chuỗi cung ứng phần mềm ngày càng trở nên tinh vi, sự cảnh giác của từng lập trình viên chính là tuyến phòng thủ đầu tiên và quan trọng nhất.