导语:该扩展名为susvsex,发布者为“suspublisher18”,其恶意功能在描述中被公然标注。
一款具备基础勒索软件功能、疑似借助AI生成的恶意扩展,已被发布至微软官方VS Code应用市场。该扩展名为susvsex,发布者为“suspublisher18”,其恶意功能在描述中被公然标注。
Secure Annex公司研究员John Tuckner发现了这款扩展,他表示该扩展是“氛围编程”的产物,技术复杂度较低。
尽管Tuckner已举报该扩展及其明确的功能描述——其中披露会将文件窃取至远程服务器,并通过AES-256-CBC算法加密所有文件,但微软未采纳其举报,也未将该扩展从VS Code应用市场移除。
勒索软件扩展的工作原理
该扩展会在任意事件触发时激活,包括安装完成时或VS Code启动时,随后初始化包含硬编码变量(IP地址、加密密钥、命令与控制服务器地址)的“extension.js”文件。
Tuckner指出:“这些变量中多数带有注释,表明代码并非发布者直接编写,极有可能是通过AI生成的。”激活后,扩展会调用名为zipUploadAndEncrypt的函数,检查标记文本文件是否存在,随后启动加密流程。
它会将指定目标目录下的文件压缩为ZIP归档文件,窃取至硬编码的命令与控制(C2)服务器地址,之后用加密版本替换所有原始文件。
数据盗窃例程
该扩展会轮询一个私人GitHub仓库获取指令,定期检查需通过个人访问令牌(PAT)验证的“index.html”文件,并尝试执行其中的所有命令。
借助硬编码的PAT令牌,研究员成功获取了主机信息,并发现该仓库的所有者疑似位于阿塞拜疆。由于该扩展是公然的威胁,其发布可能是为了测试微软的审核流程。
VS Code 市场上的勒索软件扩展
Secure Annex将susvsex称为“AI slop”,其恶意行为在自述文件(README)中完全暴露,但同时指出,只需稍作修改,这款扩展的危险性将大幅提升。 目前susvsex已被下架。
文章翻译自:https://www.bleepingcomputer.com/news/security/ai-slop-ransomware-test-sneaks-on-to-vs-code-marketplace/如若转载,请注明原文地址
