Maliciozna ekstenzija sa osnovnim ransomware mogućnostima, koja je djelimično izgleda napravljena uz pomoć AI, objavljena je na zvaničnom Microsoftovom VS Code marketplace-u.
Ekstenzija se zove susvsex i objavljena je od strane naloga ‘suspublisher18’, a maliciozna funkcionalnost je otvoreno reklamirana u opisu ekstenzije.
Istraživač iz Secure Annex-a, John Tuckner, otkrio je susvsex i kaže da je proizvod „vibe coding“-a i daleko od sofisticiranog.
Uprkos tome što je prijavio ekstenziju i njen eksplicitni opis, koji otkriva krađu sadržaja na udaljeni server i enkripciju svih sadržaja pomoću AES-256-CBC, Microsoft je ignorisao Tucknerovu prijavu i nije uklonio ekstenziju iz VS Code registra.
Ekstenzija se aktivira na bilo koji događaj, uključujući instalaciju ili pokretanje VS Code-a, inicijalizujući fajl extension.js koji sadrži hardkodirane varijable (IP, ključeve za enkripciju, adresu komandno-kontrolnog servera).
„Mnoge od ovih vrijednosti imaju komentare koji ukazuju da kod nije direktno pisao izdavač i vrlo vjerovatno je generisan putem AI-a“, kaže Tuckner.
Po aktivaciji, ekstenzija poziva funkciju zipUploadAndEncrypt koja provjerava prisustvo marker tekst fajla i pokreće rutinu enkripcije.
Kreira .ZIP arhivu fajlova u definisanom ciljnom direktorijumu i eksfiltrira ih na hardkodiranu C2 adresu. Svi fajlovi se potom zamijene njihovim enkriptovanim verzijama.
Tuckner je otkrio da ekstenzija periodično provjerava privatni GitHub repozitorij za komande, čitajući fajl index.html koji koristi PAT token za autentifikaciju, i pokušava izvršiti bilo koje komande koje tamo pronađe.
Korištenjem hardkodiranog PAT-a, istraživač je mogao pristupiti informacijama o hostu i otkriti da je vlasnik repozitorija vjerovatno lociran u Azerbejdžanu.
Pošto je ekstenzija očigledna prijetnja, moguće je da je rezultat eksperimenta koji testira Microsoftov proces provjere.
Secure Annex označava susvsex kao „AI slop“, sa njegovim malicioznim akcijama izloženim u README fajlu, ali napominje da bi nekoliko izmjena učinilo ekstenziju daleko opasnijom.
BleepingComputer je kontaktirao Microsoft povodom ovog pitanja i čekamo njihov odgovor. Dok je susvsex bio prisutan u trenutku pisanja ovog članka, do vremena objave više nije bio dostupan.
Izvor: BleepingComputer