На маркетплейсе Microsoft VS Code обнаружено расширение-вымогатель, созданное с помощью ИИ

2025-11-07 361 комментарии
На маркетплейсе Visual Studio Code обнаружено вредоносное расширение-вымогатель susvsex, предположительно созданное с помощью ИИ. Оно шифровало файлы и отправляло их на удалённый сервер. Microsoft не сразу удалила расширение, несмотря на предупреждение исследователей

Вредоносное расширение с базовыми возможностями программы-вымогателя, предположительно созданное с помощью ИИ, было опубликовано в официальном маркетплейсе VS Code.

Расширение под названием susvsex, опубликованное пользователем с ником «suspublisher18», прямо в описании объявляет о своей вредоносной функциональности.

Исследователь из Secure Annex Джон Такнер (John Tuckner) обнаружил susvsex и отметил, что речь идет о продукте вайб-кодинга, лишенного каких-либо сложных механизмов.

Хотя в описании расширения прямо указано, что оно похищает файлы на удаленный сервер и шифрует их с помощью AES-256-CBC, Microsoft проигнорировала сообщение Такнера и не удалила расширение из каталога VS Code.

Как работает расширение-вымогатель

Расширение активируется при любом событии, включая установку или запуск VS Code, и инициализирует файл extension.js, который содержит заранее определенные переменные (IP-адрес, ключи шифрования, адрес командного центра).

Такнер отметил:

Во многих этих значениях есть комментарии, которые указывают на то, что код не был написан самим издателем и очень вероятно был сгенерирован с помощью ИИ.

При активации расширение вызывает функцию с именем zipUploadAndEncrypt, которая проверяет наличие маркерного текстового файла и запускает процедуру шифрования.

Расширение упаковывает файлы из указанной папки в ZIP и отправляет их на заранее заданный сервер C2, после чего заменяет оригиналы их зашифрованными копиями.

Такер обнаружил, что расширение опрашивает приватный репозиторий GitHub в поисках команд, периодически проверяя файл index.html, который использует PAT-токен для аутентификации, и пытается выполнять любые команды, найденные там.

Поскольку расширение представляет собой явную угрозу, оно может быть результатом эксперимента по тестированию процесса проверки Microsoft.

Эксперты Secure Annex называют susvsex «AI slop»: его вредоносное поведение подробно описано в README, и незначительные доработки могли бы сделать его значительно опаснее.

Microsoft пока не дала официальный комментарий по данному инциденту. Однако, на данный момент вредоносное расширение больше недоступно в маркетплейсе VS Code.

Угрозы безопасности

На маркетплейсе Microsoft VS Code обнаружено расширение-вымогатель, созданное с помощью ИИ
Google предупреждает: ИИ-вредоносы обходят антивирусы, создают дипфейки и автоматизируют фишинговые атаки
CISA: уязвимость в Linux используется в атаках с вымогательским ПО
Новая волна атак: инфостилер RedTiger нацелился на пользователей Discord
TP-Link предупреждает о критической уязвимости внедрения команд в шлюзах Omada
Сайт Xubuntu взломали: вместо установочного файла распространялся вирус для Windows

© . По материалам Bleeping Computer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте

Новое на сайте Comss.one ×