VSCode punya extension tersembunyi buat nge-hack password WiFi tapi gak illegal kok caranya

gacor anjayDesember 13, 2025

55 6 minutes read

Tahukah kamu? Sebuah riset Koi Security menemukan ekstensi yang menyamar sebagai tema premium dan asisten AI, lalu menyelundupkan malware yang mencuri kredensial, tangkapan layar, clipboard, dan membajak sessions.

Temuan ini menunjukkan risiko nyata bagi developer dan user di Indonesia. Paket seperti BigBlack.bitcoin-black dan BigBlack.codo-ai sempat terpasang puluhan kali sebelum Microsoft menghapusnya.

Kami akan merangkum bagaimana code berbahaya bisa tersembunyi di extensions, apa saja threat pada source dan software kerja, serta batas legal pengujian keamanan. Tujuannya edukatif: memberi information agar developer bisa membuat keputusan aman tanpa memberi instruksi ofensif.

Singkatnya, waspada itu penting. Dengan langkah deteksi dini dan konfigurasi yang tepat, developer bisa meminimalkan risiko kebocoran data dan campaign malware yang menargetkan visual studio code dan studio code lain.

Membahas “Vscode Extension Hack Wifi” secara etis: tujuan edukasi, bukan pembobolan

Insiden seperti ini memaksa kita memisahkan niat edukasi dari tindakan yang melanggar hukum. Fokus di sini adalah informasi untuk meningkatkan security dan proteksi data, bukan memberi panduan ofensif.

Mengapa topik ini ramai dan risikonya bagi pengguna di Indonesia

Judul sensasional menarik perhatian banyak user dan developer. Di Indonesia, pencarian cepat sering berujung pada instalasi paket yang kurang jelas asalnya.

Risiko: pencurian data, akses akun kerja, dan kerusakan reputasi bagi developers.
Attackers bisa menyamarkan malicious code agar melewati pemindaian awal di marketplace.
Perhatikan indikator vulnerability: publisher tak dikenal, ulasan mencurigakan, atau permintaan permission berlebihan.

Batasan legal: apa yang boleh dan tidak boleh dilakukan saat menguji jaringan

Uji penetrasi hanya boleh dilakukan pada jaringan milik sendiri atau dengan izin tertulis pemilik. Mengakses sistem orang lain tanpa izin adalah pelanggaran hukum.

Gunakan Workspace Trust, allowlist extensions yang disetujui tim, dan pastikan memilih publisher yang memiliki reputasi dan bukti audit.

Cara kerja extension berbahaya di Visual Studio Code

Banyak serangan memanfaatkan kepercayaan developer terhadap fitur yang tampak produktif. Pelaku menyamarkan paket sebagai tema premium atau asisten AI lalu menyisipkan malicious code yang berjalan dengan hak user. Tujuannya: mengunduh payload tambahan dan mengekstrak data tanpa terlihat.

Dari theme palsu hingga AI assistant: menyisipkan script berbahaya

Contoh nyata seperti paket yang mengaku tema atau assistant mengeksekusi PowerShell untuk mengambil ZIP berpassword dari domain eksternal. Versi lain memakai batch yang memanggil curl untuk mengunduh exe dan DLL.

Teknik umum: download payload, DLL hijacking, exfiltrasi

Narapelaksanaan script (PowerShell/batch) mengunduh dan mengekstrak payload via Expand‑Archive, .NET, DotNetZip, atau 7‑Zip.
DLL hijacking: menjalankan executable legitimate (mis. Lightshot.exe) sehingga mem‑load DLL palsu dan menjalankan aktivitas pengumpulan.
Data yang diambil: clipboard, daftar proses, daftar aplikasi, screenshot, kredensial jaringan, serta cookies browser untuk membajak sesi.
File artefak diletakkan di lokasi tersamarkan dengan nama mirip komponen software agar susah terdeteksi.
Proses exfiltrasi mengirim files ke server penyerang, membuat developer kehilangan kontrol atas akun dan perangkat.

Penting: memahami alur teknis ini membantu mengenali pola attack tanpa mempelajari langkah ofensif. Waspada pada publisher yang tak jelas dan perilaku permission atau proses yang mencurigakan.

Kasus nyata: ekstensi VSCode mencuri kredensial WiFi, cookies, dan sesi browser

Analisis forensik menunjukkan rantai serangan yang memanfaatkan skrip dan DLL untuk mengambil data pengguna.

Daftar paket bermasalah di marketplace

Microsoft menghapus tiga paket dari satu publisher setelah bukti technical muncul. Paket itu mengaku fitur berguna, tetapi menyembunyikan aktivitas berbahaya.

BigBlack.bitcoin-black — 16 instal, dihapus 5 Des 2025; aktif saat VS Code berjalan.
BigBlack.codo-ai — 25 instal, dihapus 8 Des 2025; menyisipkan fungsi jahat dalam tool yang tampak bekerja normal.
mrbigblacktheme — juga dihapus karena payload berbahaya.

Rantai serangan dan dampak bagi developer

Pola campaign memakai PowerShell atau batch untuk men‑drop file berbahaya yang kemudian memicu Lightshot.dll.

DLL ini mengambil clipboard, screenshot, daftar aplikasi, dan kredensial Wi‑Fi. Browser headless lalu mengekstrak cookies sehingga sessions bisa dibajak.

Data yang dikumpulkan dikirim ke server kendali attackers, membuka potensi akses ke email, Slack, repositori, dan network environments internal.

Nama Paket	Instal	Tindakan	Risiko Utama
BigBlack.bitcoin-black	16	Menjalankan skrip, mengunduh payload	Pencurian credentials dan files
BigBlack.codo-ai	25	Menyusupkan fungsi jahat ke tool	Deteksi terlambat, pembajakan sessions
mrbigblacktheme	—	Payload via DLL hijack	Screenshot, clipboard, cookies

Rekomendasi singkat: hapus extensions mencurigakan, audit file dan proses terkait, serta rotasi credentials yang mungkin terekspos.

Vscode Extension Hack Wifi: klaim fitur vs fakta keamanan

Banyak klaim sensasional soal fitur pembobolan jaringan sering beredar tanpa bukti teknis yang jelas.

Untuk menilai mana yang edukasi, proof‑of‑concept (PoC), atau berbahaya, developer perlu melakukan pemeriksaan dasar sebelum memasang paket. Ini mengurangi risiko kebocoran data dan eksposur sistem kerja.

Membedakan tool edukasi, PoC, dan paket berbahaya

Periksa halaman product: lihat publisher, repositori source, changelog, dan issue tracker sebagai bagian dari quick analysis.
Nilai dokumentasi: proyek sah biasanya punya dokumentasi lengkap dan penjelasan permission yang diminta.
Jangan hanya lihat angka: jumlah instal atau rating tidak selalu mencerminkan keamanan.
Marketplace dan kill list: scan otomatis membantu, tapi review komunitas tetap penting karena review terbatas bisa membuat malicious extensions lolos sementara.
Gunakan allowlist: proses seleksi internal membantu mencegah instalasi di lingkungan produksi.
Jika ragu, uji di lingkungan terisolasi dan pantau proses serta koneksi jaringan sebelum distribusi luas.

Aspek	Apa yang Dicek	Tanda Bahaya
Publisher & reputasi	Riwayat kontribusi open source, kontak, verifikasi	Publisher anonim atau tidak ada source
Konten & izin	Changelog, permission, file sumber	Izin luas tanpa penjelasan
Proses mitigasi	Allowlist, Workspace Trust, kill list	Ketergantungan pada review otomatis saja

Kesimpulannya: bedakan klaim dari fakta dengan mengecek sumber dan proses. Developer yang teliti mengurangi peluang terkena malicious code tanpa mengorbankan produktivitas.

Jalur kompromi jarak jauh: penyalahgunaan fitur VSCode dan supply chain

Beberapa fitur produktivitas ternyata bisa dipakai untuk menyusupkan akses jarak jauh ke sistem developer. Fitur yang dimaksud meliputi extensions, tasks, debugging, port forwarding, Live Share, dan remote development seperti SSH atau dev containers.

Abusing features

Tasks dan debugging dari repo tak tepercaya dapat menjalankan script berbahaya lewat command otomatis. Port forwarding dan Live Share berpotensi membuka akses ke network internal bila trust diberikan tanpa verifikasi.

Supply chain & marketplace

Proses publikasi ke marketplace lewat command vsce relatif mudah. Review terutama bergantung pada scan otomatis, sehingga attackers yang cerdik bisa menyelundupkan malware ke dalam software distribusi.

Perketat trust berbasis publisher sebelum instal.
Audit konfigurasi tasks dan cek proses setelah pemasangan baru.
Batasi komunikasi keluar untuk mengurangi peluang C2.

Untuk konteks teknis lebih lanjut, lihat laporan lengkap tentang penemuan teknis di analisis riset.

Studi kampanye: Remote Tunnel disalahgunakan untuk akses ilegal

Laporan CRIL menunjukkan model serangan berlapis yang berawal dari file pemasang palsu. Kampanye ini memanfaatkan file .LNK yang tampak seperti installer resmi untuk menjalankan script tersembunyi.

Infection chain: .LNK → Python → CLI → Remote Tunnel

Infection chain dimulai saat korban membuka .LNK phishing. Berkas ini mengunduh paket Python embed lalu mengeksekusi update.py.

update.py memeriksa keberadaan Visual Studio CLI. Jika tidak ada, skrip mengunduh alat itu dan menjalankan command “code.exe tunnel …” untuk membuat Remote Tunnel.

Exfiltrasi data via web protocols

Skrip mengekstrak activation code (pola xxxx-xxxx) dari output CLI. Kode dan metadata sistem dikirim ke C2 di requestrepo.com.

Data yang dikumpulkan meliputi info sistem, daftar proses, struktur folder, locale, dan geolokasi—cukup untuk memprofilkan systems korban.

Persistensi dan eskalasi

Untuk bertahan, kampanye membuat Scheduled Task bernama MicrosoftHealthcareMonitorNode. Non‑admin menjalankan tugas tiap 4 jam; admin menambahkan tugas run at logon dengan SYSTEM.

Pelajaran bagi cybersecurity

Periksa hash .lnk dan update.py serta URL paste.ee yang dipakai untuk mengambil skrip.
Waspadai aktivitas ke endpoint requestrepo.com sebagai indikator exfiltrasi.
Batasi eksekusi command otomatis dan verifikasi file yang diunduh sebelum dijalankan.

Tahap	Teknik	Indikator
Delivery	.LNK phishing menyamar installer	Hash .lnk, nama file mencurigakan
Execution	update.py menjalankan Python dan CLI	URL paste.ee, update.py hash
Command & Control	code.exe tunnel → ekstraksi activation code	Traffic ke requestrepo.com, pola xxxx-xxxx
Persistensi	Scheduled Task MicrosoftHealthcareMonitorNode	Task name, jadwal 4 jam / run at logon

Peneliti mencatat kemiripan taktik ini dengan kelompok Stately Taurus menurut Unit42. Untuk rincian teknis dan rekomendasi mitigasi, lihat laporan teknis.

How-To aman: langkah praktis mendeteksi, menonaktifkan, dan mengeraskan VSCode

Mulai dari pemeriksaan cepat hingga respons terstruktur, berikut panduan praktis untuk menjaga lingkungan pengembangan tetap aman.

Audit cepat

Cek daftar extensions terpasang dan verifikasi publisher resmi. Pastikan rating dan ulasan wajar, serta tidak ada paket yang masuk kill list.

Perhatikan proses mencurigakan seperti lonjakan CPU atau aktivitas network yang terkait code.exe, curl, atau PowerShell.

Deteksi & pembersihan

Jika extension dikonfirmasi berbahaya, copot segera dan bersihkan file serta cookies. Rotasi credentials penting setelah pembersihan.

Periksa scheduled tasks untuk entri asing seperti MicrosoftHealthcareMonitorNode dan nonaktifkan bila tidak sah.

Hardening environments

Gunakan allowlist untuk extensions, aktifkan Workspace Trust, dan terapkan prinsip least privilege pada user. Batasi pemasangan software dari sumber tak resmi.

Monitoring & response

Pasang endpoint protection dan EDR untuk detection berbasis perilaku. Pantau anomali network, alert akses tidak biasa, dan lakukan server‑side analysis pada repositori dan CI/CD.

Latih developers mengenali indikator kompromi dan jalur pelaporan insiden.
Blokir pemasangan file .vsix tanpa persetujuan TI dan audit command log secara rutin.

Aksi	Prioritas	Indikator
Audit extensions	Tinggi	Publisher anonim / kill list
Periksa Tasks & Logs	Tinggi	MicrosoftHealthcareMonitorNode / outbound ke requestrepo.com
EDR & Monitoring	Sedang	Anomali network / proses mencurigakan

Kesimpulan

Akhirnya, pengelolaan pemasangan dan kontrol akses menentukan kadar cybersecurity organisasi. Kurasi terhadap supply chain dan kebijakan allowlist membuat perbedaan besar dalam mencegah akses tanpa izin.

Jaga security dengan audit rutin pada code dan extension, serta pantau tanda-tanda malicious code. Perilaku script yang mencurigakan atau traffic keluar bisa menjadi indikator campaign berbahaya.

Fokus proaktif—edukasi user, cek scheduled task, dan rotasi credential—menutup banyak celah vulnerability. Jangan hanya mengandalkan scan pasar; gabungkan monitoring, pengetesan, dan kebijakan untuk mengurangi risiko malware dan attack pada tool kerja.