文章总结： ThearticledetailstheEvelynStealermalwaredistributedviamaliciousVSCodeextensions,leveragingasupplychainattack.Itusesamulti-stagechaininvolvingDLLdroppingandPowerShelltoinjectcodeintotheWindowsgrpconv.exeprocess,evadingdetection.ThestealerharvestssensitivedatalikecryptowalletsandcookiesusingChromeHeadlessmodeandexfiltratesviaFTP.Developersareadvisedtoauditinstalledplugins,monitornetworktrafficforsuspiciousFTPconnections,andisolatedevelopmentenvironmentstomitigatecredentialtheftrisks. 综合评分： 88 文章分类： 恶意软件,供应链安全,威胁情报,数据泄露,终端安全

开发者渡劫：恶意插件潜伏 VS Code，内存注入 + 无头浏览器收割全场

原创

Kit Chung Kit Chung

安全圈动向

2026年1月26日 07:59 广东

今天要跟大家聊的话题，可能让你手里正敲得火热的 VS Code 突然变得“烫手”。

作为程序员，VS Code 几乎是我们的“本体”。为了提高效率（或者单纯为了代码看起来更炫酷），谁的编辑器里没装个几十个插件？但你有没有想过，那个帮你一键美化代码或者调整配色主题的插件，可能正在后台悄悄把你的比特币钱包、浏览器 Cookie 甚至公司内网凭证打包发给黑客？

最近，安全圈炸锅了。一款名为 Evelyn Stealer 的窃密木马被 Trend Micro 和 Koi Security 曝光。这帮黑客不讲武德，直接把“屠刀”伸向了我们开发者。

来，今天咱们就从技术角度扒一扒，这只“电子黑手”究竟是怎么伸进我们电脑的。

💣 噩梦开始：披着羊皮的插件

这次被曝光的攻击活动，手段非常经典，但也非常有效——供应链攻击。

黑客并没有费尽心机去攻破你公司的防火墙，而是直接在 VS Code 插件市场上架了看似人畜无害的扩展。目前被点名的三个“毒插件”分别是：

• BigBlack.bitcoin-black
• BigBlack.codo-ai
• BigBlack.mrbigblacktheme

看名字是不是觉得挺正常？一个暗黑主题，一个 AI 辅助。当你点击“Install”的那一刻，噩梦就开始了。

技术拆解：

安装这一步并不会直接运行勒索病毒，而是执行一个经典的 Drop（释放） 动作。插件会释放一个恶意的 DLL 文件（Lightshot.dll）。

熟悉 Windows 机制的朋友都知道，DLL 加上 PowerShell 是一对“王炸”组合。这个 DLL 会启动一个隐藏的 PowerShell 命令，从远程服务器拉取第二阶段的 Payload —— runtime.exe。

小编有话说：

这种“套娃”式下载（Stager -> Dropper -> Payload）是免杀的常规操作，目的就是为了骗过简单的静态查杀。很多时候，第一层看起来完全是“良民”。

💉 核心技法：内存注入与“借壳还魂”

如果只是跑个 exe，稍微懂点安全的一看任务管理器，发现有个不认识的进程，可能就露馅了。Evelyn Stealer 的高明之处在于它不跑在自己的进程里。

根据 Trend Micro 的分析，这个 runtime.exe 运行后，会解密主窃密模块，然后直接将其注入到一个合法的 Windows 系统进程grpconv.exe 的内存中。

为什么选 grpconv.exe？

这个进程通常与 Windows 组策略处理有关，存在感很低，但权限不低。一旦注入成功，恶意代码就仿佛穿上了“隐身衣”。它开始在内存中肆无忌惮地收割数据：

• 剪贴板内容（你刚复制的服务器密码…）
• 加密货币钱包文件
• 正在运行的进程列表
• 桌面截图
• Wi-Fi 凭证

最后，这些数据会被打包成 ZIP，通过 FTP 协议传送到黑客的服务器 server09.mentality[.]cloud。

🧠 骚操作：被玩坏的 Chrome Headless 模式

这是整篇文章我觉得最值得玩味的技术细节。

为了偷取你浏览器里的 Cookie 和凭证，通常的木马可能会遇到浏览器文件被占用（Lock）的问题，或者在操作时弹出窗口惊动用户。

Evelyn Stealer 的做法是：既然我也要用浏览器，那我就把你“静音”了用。

它会通过命令行强制启动 Chrome 或 Edge，但它加了一堆 flag（启动参数）。咱们来逐行分析一下这段参数，堪称“如何把浏览器变成静默爬虫”的反面教材：

看懂了吗？

这一套组合拳下来，浏览器是在运行，但它被移到了屏幕坐标系之外（-10000, -10000），且窗口大小只有 1×1 像素。黑客就像在操作一个看不见的傀儡，优雅地把你的 Cookie 掏空，而你对此一无所知。

此外，为了防止自己人打架，下载器还创建了一个 Mutex（互斥体）。这在并发编程里很常见，但在木马里，这是为了确保同一台机器上只有一个木马实例在运行，避免资源冲突引起注意。

🛡️我们该怎么办？

Evelyn Stealer 并不是个例，还有最近冒出来的 Python 编写的 MonetaStealer 和 SolyxImmortal，都在盯着开发者的电脑。

作为技术人员，我们往往觉得“我懂技术，病毒骗不了我”。但这次，敌人藏在我们的工具箱里。

几条建议：

1. 插件断舍离

   去检查一下你的 VS Code 扩展列表。那些很久不更新、开发者名字看起来像脸滚键盘打出来的、下载量莫名其妙高的插件，赶紧删。

2. 关注网络行为

   如果你的电脑莫名其妙向奇怪的 FTP 服务器发起连接，或者 grpconv.exe 占用了异常高的内存，请立刻断网排查。

3. 环境隔离

   如果条件允许，开发环境和存有个人敏感资产（如钱包）的环境最好物理隔离，或者至少用虚拟机/沙盒隔开。

💬 互动时间： 你的 VS Code 里装了多少个插件？有没有哪个是你觉得“虽然好用但来路不明”的？在评论区聊聊，帮大家避避雷！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung Kit Chung《开发者渡劫：恶意插件潜伏 VS Code，内存注入 + 无头浏览器收割全场》