Вредоносное расширение с базовыми возможностями программы-вымогателя, предположительно созданное с помощью ИИ, было опубликовано в официальном маркетплейсе VS Code.
Расширение под названием susvsex, опубликованное пользователем с ником «suspublisher18», прямо в описании объявляет о своей вредоносной функциональности.
Исследователь из Secure Annex Джон Такнер (John Tuckner) обнаружил susvsex и отметил, что речь идет о продукте вайб-кодинга, лишенного каких-либо сложных механизмов.
Хотя в описании расширения прямо указано, что оно похищает файлы на удаленный сервер и шифрует их с помощью AES-256-CBC, Microsoft проигнорировала сообщение Такнера и не удалила расширение из каталога VS Code.
Как работает расширение-вымогатель
Расширение активируется при любом событии, включая установку или запуск VS Code, и инициализирует файл extension.js, который содержит заранее определенные переменные (IP-адрес, ключи шифрования, адрес командного центра).
Такнер отметил:
Во многих этих значениях есть комментарии, которые указывают на то, что код не был написан самим издателем и очень вероятно был сгенерирован с помощью ИИ.
При активации расширение вызывает функцию с именем zipUploadAndEncrypt, которая проверяет наличие маркерного текстового файла и запускает процедуру шифрования.
Расширение упаковывает файлы из указанной папки в ZIP и отправляет их на заранее заданный сервер C2, после чего заменяет оригиналы их зашифрованными копиями.
Такер обнаружил, что расширение опрашивает приватный репозиторий GitHub в поисках команд, периодически проверяя файл index.html, который использует PAT-токен для аутентификации, и пытается выполнять любые команды, найденные там.
Поскольку расширение представляет собой явную угрозу, оно может быть результатом эксперимента по тестированию процесса проверки Microsoft.
Эксперты Secure Annex называют susvsex «AI slop»: его вредоносное поведение подробно описано в README, и незначительные доработки могли бы сделать его значительно опаснее.
Microsoft пока не дала официальный комментарий по данному инциденту. Однако, на данный момент вредоносное расширение больше недоступно в маркетплейсе VS Code.
Угрозы безопасности
• ChimeraWire: новый троян, который имитирует поведение пользователей для раскрутки сайтов
• Google устранила две уязвимости «нулевого дня» в Android, которые использовались в атаках
• ShadyPanda: Вредоносные расширения для Chrome и Edge установлены более 4,3 млн раз
• Приложение SmartTube для Android TV, для проcмотра YouTube без рекламы, оказалось заражено вредоносным ПО
• Вредоносные ИИ нового поколения: WormGPT 4 и KawaiiGPT уже генерируют рабочие скрипты для кибератак
• Посылка доставлена! Но вы её не заказывали: «Лаборатория Касперского» предупреждает о новых угрозах – брашинге и квишинге