北京
一款具備基礎勒索軟件功能、疑似借助AI生成的惡意擴展,已被發布至微軟官方VS Code應用市場。該擴展名為susvsex,發布者為“suspublisher18”,其惡意功能在描述中被公然標注。
Secure Annex公司研究員John Tuckner發現了這款擴展,他表示該擴展是“氛圍編程”的產物,技術復雜度較低。
盡管Tuckner已舉報該擴展及其明確的功能描述——其中披露會將文件竊取至遠程服務器,并通過AES-256-CBC算法加密所有文件,但微軟未采納其舉報,也未將該擴展從VS Code應用市場移除。
勒索軟件擴展的工作原理
該擴展會在任意事件觸發時激活,包括安裝完成時或VS Code啟動時,隨后初始化包含硬編碼變量(IP地址、加密密鑰、命令與控制服務器地址)的“extension.js”文件。
Tuckner指出:“這些變量中多數帶有注釋,表明代碼并非發布者直接編寫,極有可能是通過AI生成的。”激活后,擴展會調用名為zipUploadAndEncrypt的函數,檢查標記文本文件是否存在,隨后啟動加密流程。
它會將指定目標目錄下的文件壓縮為ZIP歸檔文件,竊取至硬編碼的命令與控制(C2)服務器地址,之后用加密版本替換所有原始文件。
數據盜竊例程
該擴展會輪詢一個私人GitHub倉庫獲取指令,定期檢查需通過個人訪問令牌(PAT)驗證的“index.html”文件,并嘗試執行其中的所有命令。
借助硬編碼的PAT令牌,研究員成功獲取了主機信息,并發現該倉庫的所有者疑似位于阿塞拜疆。由于該擴展是公然的威脅,其發布可能是為了測試微軟的審核流程。
VS Code 市場上的勒索軟件擴展
Secure Annex將susvsex稱為“AI slop”,其惡意行為在自述文件(README)中完全暴露,但同時指出,只需稍作修改,這款擴展的危險性將大幅提升。 目前susvsex已被下架。
參考及來源:https://www.bleepingcomputer.com/news/security/ai-slop-ransomware-test-sneaks-on-to-vs-code-marketplace/
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
