Networking

Tes ransomware AI-Slop menyelinap ke pasar VS Code

45
tes-ransomware-ai-slop-menyelinap-ke-pasar-vs-code
Tes ransomware AI-Slop menyelinap ke pasar VS Code

Ekstensi berbahaya dengan kemampuan dasar ransomware yang tampaknya dibuat dengan bantuan AI, telah dipublikasikan di pasar resmi VS Code Microsoft.

Bernama susvsex dan diterbitkan oleh ‘suspublisher18,’ fungsi berbahaya ekstensi ini diiklankan secara terbuka dalam deskripsinya.

Peneliti Secure Annex, John Tuckner, menemukan susvsex dan mengatakan bahwa ini adalah produk “pengkodean getaran” dan jauh dari kata canggih.

Meskipun melaporkan ekstensi dan deskripsi eksplisitnya, yang mengungkapkan pencurian file ke server jarak jauh dan enkripsi semua file dengan AES-256-CBC, Microsoft mengabaikan laporan Tuckner dan tidak menghapusnya dari registri VS Code.

Cara kerja ekstensi ransomware

Ekstensi ini aktif pada peristiwa apa pun, termasuk saat instalasi atau saat meluncurkan VS Code, menginisialisasi file ‘extension.js’ yang berisi variabel hardcode (IP, kunci enkripsi, alamat perintah dan kontrol).

“Banyak dari nilai-nilai ini memiliki komentar yang menunjukkan bahwa kode tersebut tidak ditulis langsung oleh penerbit dan kemungkinan besar dihasilkan melalui AI,” mengatakan Tuckner.

Saat aktivasi, ekstensi memanggil fungsi bernama zipUploadAndEncrypt yang memeriksa keberadaan file teks penanda, dan memulai rutinitas enkripsi.

Ini membuat arsip .ZIP dari file di direktori target yang ditentukan dan mengekstraknya ke alamat C2 yang dikodekan secara hardcode. Semua file kemudian diganti dengan versi terenkripsinya.

Rutinitas pencurian data
Sumber: Lampiran Aman

Tucker menemukan bahwa ekstensi tersebut melakukan polling pada repositori GitHub pribadi untuk mendapatkan perintah, secara berkala memeriksa file ‘index.html’ yang menggunakan token PAT untuk autentikasi, dan mencoba menjalankan perintah apa pun di sana.

Dengan memanfaatkan PAT yang dikodekan secara keras, peneliti dapat mengakses informasi host dan menemukan bahwa pemilik repositori kemungkinan besar berbasis di Azerbaijan.

Karena ekstensi ini merupakan ancaman nyata, ekstensi ini mungkin merupakan hasil eksperimen untuk menguji proses pemeriksaan Microsoft.

Ekstensi ransomware di pasar VS Code
Sumber: BleepingComputer

Amankan label Lampiran susvsex sebuah ‘AI slop’ dengan tindakan jahatnya yang terekspos di file README, namun perlu diperhatikan bahwa beberapa penyesuaian akan membuatnya jauh lebih berbahaya.

BleepingComputer telah menghubungi Microsoft mengenai masalah ini, dan kami menunggu tanggapan mereka. Ketika susvsex hadir pada saat artikel ini ditulis, tidak lagi tersedia pada waktu penerbitan.

Tolok Ukur Anggaran CISO 2026

Ini musim anggaran! Lebih dari 300 CISO dan pemimpin keamanan telah berbagi bagaimana mereka merencanakan, membelanjakan, dan membuat prioritas untuk tahun depan. Laporan ini mengumpulkan wawasan mereka, memungkinkan pembaca untuk membuat tolok ukur strategi, mengidentifikasi tren yang muncul, dan membandingkan prioritas mereka menjelang tahun 2026.

Pelajari bagaimana para pemimpin terkemuka mengubah investasi menjadi dampak yang terukur.

Exit mobile version