在VSCode 市場中發現了兩個隱藏著勒索軟件的惡意擴展。其中一個于去年 10 月出現在微軟商店，但很長時間沒有引起注意。

這些是擴展ahban.shiba 和 ahban.cychelloworld，目前已從商店中刪除。

此外，ahban.cychelloworld 擴展于 2024 年 10 月 27 日上傳到商店，ahban.shiba 于 2025 年 2 月 17 日上傳到商店，繞過了所有安全檢查。

該惡意軟件是由 ReversingLabs 的專家發現的 ，他們寫道，這兩個擴展都包含一個 PowerShell 命令，該命令從遠程 Amazon AWS 服務器下載并執行另一個 PowerShell 腳本。該腳本負責傳播勒索軟件。

據研究人員稱，該勒索軟件顯然處于開發或測試階段，因為它目前僅加密 C:\users\%username%\Desktop\testShiba 文件夾中的文件，不會觸及任何其他文件。

加密完成后，腳本會在屏幕上顯示一條警告：

“您的文件已加密。要恢復它們，請向 ShibaWallet 支付 1 ShibaCoin。”與傳統的勒索軟件攻擊不同，沒有額外的說明或其他要求。

在 ReversingLabs 研究人員向微軟通報勒索軟件后，該公司迅速從 VSCode 市場中刪除了這兩個擴展。

ExtensionTotal 安全研究員 Italy Kruk 此前曾運行過自動掃描，并在 VSCode 市場中檢測到了這些惡意擴展，但這位專家未能聯系到該公司的代表。

騙子解釋道，ahban.cychelloworld 原本并不是惡意的，勒索軟件是在 0.0 版本上傳后出現的。

該擴展于2024年11月24日被接受到VSCode市場。此后，ahban.cychelloworld擴展又收到了五次更新，所有更新都包含惡意代碼。

我們于 2024 年 11 月 25 日通過掃描儀自動生成的報告向微軟報告了 ahban.cychelloworld。

可能是由于此擴展程序的安裝數量較少，微軟沒有優先處理該消息。

專家指出，這兩個擴展程序都下載并執行了遠程 PowerShell 腳本，但幾個月來卻未被發現，這清楚地表明微軟的驗證流程存在嚴重缺陷。