Хакеры вломились в 1,5 млн систем через два вредоносных ИИ-расширения Microsoft VSCode — и они до сих пор не удалены

Более 1,5 млн человек могут оказаться жертвами утечки конфиденциальных данных на ресурсы китайской группировки киберпреступников — они опубликовали в VSCode Marketplace два вредоносных расширения.

Обзор телевизора Sber SDX-43U4169

Итоги 2025-го: ИИ-лихорадка, рыночные войны, конец эпохи Windows 10 и ещё 12 главных событий года

Обзор игрового QD-OLED WQHD-монитора Gigabyte AORUS FO27Q5P: на пределе возможностей

Обзор игрового 4K IPS-монитора Gigabyte M27UP: разнообразия ради

Итоги 2025 года: почему память стала роскошью и что будет дальше

Обзор ноутбука TECNO MEGABOOK S14 (S14MM): OLED с HDR как новая норма

Вредоносные расширения на платформе Visual Studio Code (VSCode) Marketplace обнаружили эксперты в области кибербезопасности из компании Koi Security. В описании к расширениям говорится, что они предлагают функции помощника с искусственным интеллектом. Эту функцию они действительно поддерживают, но также загружают конфиденциальные данные пользователей на расположенный в Китае сервер. Расширения под названием «ChatGPT – 中文版» (1,34 млн установок) и «ChatMoss (CodeMoss)» (150 тыс. установок) работают в рамках вредоносной кампании MaliciousCorgi, причём оба отправляют украденные данные на один и тот же сервер.

Для извлечения данных используются три различных механизма. Первый в реальном времени отслеживает открываемые в клиенте VS Code файлы, кодирует их в Base64 и передаёт на сервер. Второй механизм включается по команде с сервера и отправляет из рабочего пространства жертвы до 50 файлов. Третий — элемент iframe с нулевым размером в режиме веб-просмотра расширения с загруженными коммерческими SDK. Эти SDK отслеживают поведение пользователе, создают идентификационные профили и отслеживают другую активность.

Microsoft пообещала изучить ситуацию, но оба расширения на данный момент по-прежнему доступны для скачивания.