Ekstensi VSCode Berbahaya Pencuri Kripto Kembali Muncul di OpenVSX
Peneliti keamanan kembali menemukan kampanye berkelanjutan yang menargetkan pengembang melalui ekstensi Visual Studio Code (VSCode) berbahaya. Aktor ancaman bernama TigerJack diketahui terus menerbitkan ekstensi jahat di VSCode Marketplace milik Microsoft dan OpenVSX, sebuah repositori ekstensi open-source alternatif, dengan tujuan mencuri kriptokurensi dan menanam backdoor di sistem korban.
Ekstensi Jahat Kembali Aktif di OpenVSX
Dua ekstensi berbahaya yang sebelumnya telah dihapus dari VSCode Marketplace — C++ Playground dan HTTP Format — diketahui masih tersedia di OpenVSX, menurut laporan terbaru dari Koi Security.
Kedua ekstensi tersebut sebelumnya mencatat lebih dari 17.000 unduhan sebelum dihapus, namun pelaku kembali menerbitkannya dengan nama dan akun baru, membuat proses deteksi dan penghapusan menjadi sulit.
OpenVSX sendiri merupakan platform ekstensi independen yang digunakan oleh berbagai editor kompatibel VSCode seperti Cursor dan Windsurf, terutama di lingkungan yang tidak dapat mengakses marketplace resmi Microsoft karena pembatasan teknis atau hukum.
Sejak awal 2025, TigerJack telah menyebarkan setidaknya 11 ekstensi VSCode berbahaya melalui kampanye yang terkoordinasi.
Modus Operandi: Dari Pencurian Kode hingga Penambangan Kripto
🧠 C++ Playground — Pencuri Kode Sumber
Ekstensi ini mendaftarkan fungsi pemantau (listener) bernama onDidChangeTextDocument pada file C++. Fitur ini mengirimkan setiap perubahan kode ke server eksternal sekitar 500 milidetik setelah pengguna mengetik — merekam aktivitas pengetikan hampir secara real-time.
💰 HTTP Format — Penambang Kripto Tersembunyi
Meski berfungsi sebagaimana dijanjikan, HTTP Format diam-diam menjalankan CoinIMP miner di latar belakang.
- Menggunakan kredensial dan konfigurasi yang tertanam di dalam kode.
- Tidak memiliki pembatasan sumber daya, sehingga menggunakan seluruh daya prosesor komputer korban untuk menambang kripto.
⚠️ Ekstensi dengan Kemampuan Remote Execution
Beberapa varian lain (seperti cppplayground, httpformat, dan pythonformat) mengambil dan mengeksekusi kode JavaScript dari alamat tetap ab498.pythonanywhere.com/static/in4.js setiap 20 menit.
Teknik ini memungkinkan eksekusi kode berbahaya jarak jauh tanpa memperbarui ekstensi, memberi pelaku kebebasan penuh untuk:
- Mencuri kredensial dan API key.
- Menyebarkan ransomware.
- Menyusup ke jaringan perusahaan.
- Menanam backdoor di proyek pengembang.
- Melakukan pemantauan aktivitas pengguna secara langsung.
Koi Security menyebutnya sebagai varian paling berbahaya, karena dapat berubah fungsi secara dinamis tanpa diketahui pengguna.
Operasi Multi-Akun Terkoordinasi
TigerJack diketahui menjalankan jaringan akun palsu yang tampak seperti pengembang independen dengan reputasi kredibel. Mereka melengkapi profil dengan:
- Repositori GitHub palsu,
- Deskripsi fitur lengkap,
- Branding profesional,
- Dan nama ekstensi yang menyerupai alat pengembang populer.
Tujuannya adalah menciptakan kesan keaslian agar korban tidak curiga.
Koi Security telah melaporkan temuan ini kepada pengelola OpenVSX, namun hingga laporan dipublikasikan, kedua ekstensi masih tersedia untuk diunduh.
Rekomendasi untuk Pengembang
- Hanya instal ekstensi dari penerbit terpercaya di VSCode Marketplace atau OpenVSX.
- Periksa kode sumber sebelum menginstal ekstensi open-source pihak ketiga.
- Gunakan versi VSCode resmi dari Microsoft bila memungkinkan, karena platform tersebut memiliki proses moderasi yang lebih ketat.
- Jalankan pemindai keamanan atau sandbox sebelum mengaktifkan ekstensi baru.
- Pantau penggunaan CPU dan jaringan untuk mendeteksi aktivitas mencurigakan seperti penambangan kripto.
Sumber: BleepingComputer
