Μια κακόβουλη επέκταση με βασικές δυνατότητες ransomware που φαινομενικά δημιουργήθηκε με τη βοήθεια AI, δημοσιεύτηκε στην επίσημη αγορά VS Code της Microsoft.
Ονόματι susvsex και δημοσιεύτηκε από το ‘suspublisher18», η κακόβουλη λειτουργία της επέκτασης διαφημίζεται ανοιχτά στην περιγραφή της.
Ο ερευνητής του Secure Annex John Tuckner ανακάλυψε susvsex και λέει ότι είναι προϊόν “vibe coding” και απέχει πολύ από το να είναι εξελιγμένο.
Παρά την αναφορά της επέκτασης και τη ρητή περιγραφή της, η οποία αποκαλύπτει κλοπή αρχείων σε απομακρυσμένο διακομιστή και κρυπτογράφηση όλων των αρχείων με AES-256-CBC, η Microsoft αγνόησε την αναφορά του Tuckner και δεν την αφαίρεσε από το μητρώο VS Code.
Πώς λειτουργεί η επέκταση ransomware
Η επέκταση ενεργοποιείται σε οποιοδήποτε συμβάν, συμπεριλαμβανομένης της εγκατάστασης ή κατά την εκκίνηση του VS Code, αρχικοποιώντας το αρχείο «extension.js» που περιέχει τις μεταβλητές του με σκληρό κώδικα (IP, κλειδιά κρυπτογράφησης, διεύθυνση εντολών και ελέγχου).
“Πολλές από αυτές τις τιμές έχουν σχόλια που υποδεικνύουν ότι ο κώδικας δεν γράφτηκε απευθείας από τον εκδότη και πιθανότατα δημιουργήθηκε μέσω AI.” λέει Ο Τάκνερ.
Κατά την ενεργοποίηση, η επέκταση καλεί μια συνάρτηση με το όνομα zipUploadAndEncrypt που ελέγχει την παρουσία ενός αρχείου κειμένου δείκτη και ξεκινά τη ρουτίνα κρυπτογράφησης.
Δημιουργεί ένα αρχείο .ZIP των αρχείων στον καθορισμένο κατάλογο προορισμού και τα εξάγει στη διεύθυνση C2 με σκληρό κώδικα. Στη συνέχεια, όλα τα αρχεία αντικαθίστανται με τις κρυπτογραφημένες εκδόσεις τους.
Πηγή: Ασφαλές Παράρτημα
Ο Tucker διαπίστωσε ότι η επέκταση δημοσκοπεί ένα ιδιωτικό αποθετήριο GitHub για εντολές, ελέγχοντας περιοδικά ένα αρχείο ‘index.html’ που χρησιμοποιεί ένα διακριτικό PAT για έλεγχο ταυτότητας και προσπαθεί να εκτελέσει οποιεσδήποτε εντολές εκεί.
Με τη μόχλευση του κωδικοποιημένου PAT, ο ερευνητής θα μπορούσε να έχει πρόσβαση στις πληροφορίες του κεντρικού υπολογιστή και να ανακαλύψει ότι ο ιδιοκτήτης του αποθετηρίου πιθανότατα εδρεύει στο Αζερμπαϊτζάν.
Επειδή η επέκταση είναι μια απροκάλυπτη απειλή, μπορεί να είναι το αποτέλεσμα ενός πειράματος για τη δοκιμή της διαδικασίας ελέγχου της Microsoft.
Πηγή: BleepingComputer
Ασφαλίστε τις ετικέτες του παραρτήματος susvsex μια «κλοπή AI» με τις κακόβουλες ενέργειες που εκτίθενται στο αρχείο README, αλλά σημειώνει ότι μερικές τροποποιήσεις θα το καθιστούσαν πολύ πιο επικίνδυνο.
Η BleepingComputer επικοινώνησε με τη Microsoft σχετικά με το ζήτημα και περιμένουμε την απάντησή της. Ενώ susvsex ήταν παρών τη στιγμή της συγγραφής αυτού του άρθρου, δεν ήταν πλέον διαθέσιμο από το χρόνο δημοσίευσης.
Είτε καθαρίζετε παλιά κλειδιά είτε τοποθετείτε προστατευτικά κιγκλιδώματα για κώδικα που δημιουργείται από AI, αυτός ο οδηγός βοηθά την ομάδα σας να χτίζει με ασφάλεια από την αρχή.
Πάρτε το φύλλο εξαπάτησης και αφαιρέστε τις εικασίες από τη διαχείριση μυστικών.
VIA: bleepingcomputer.com
