Se ha publicado en el mercado oficial VS Code de Microsoft una extensión maliciosa con capacidades básicas de ransomware aparentemente creada con la ayuda de IA.

Nombrado susvsex y publicado por ‘suseditor18,’ la funcionalidad maliciosa de la extensión se anuncia abiertamente en su descripción.

El investigador de Secure Anexo, John Tuckner, descubrió susvsex y dice que es producto de la “codificación de vibraciones” y que está lejos de ser sofisticado.

Fenómeno

A pesar de informar sobre la extensión y su descripción explícita, que revela el robo de archivos a un servidor remoto y el cifrado de todos los archivos con AES-256-CBC, Microsoft ignoró el informe de Tuckner y no lo eliminó del registro de VS Code.

Piar

Cómo funciona la extensión ransomware

La extensión se activa en cualquier evento, incluso durante la instalación o al iniciar VS Code, inicializando el archivo ‘extension.js’ que contiene sus variables codificadas (IP, claves de cifrado, dirección de comando y control).

«Muchos de estos valores tienen comentarios que indican que el código no fue escrito directamente por el editor y muy probablemente generado a través de IA», dice Tuckner.

Al activarse, la extensión llama a una función llamada zipUploadAndEncrypt que comprueba la presencia de un archivo de texto marcador e inicia la rutina de cifrado.

Crea un archivo .ZIP de los archivos en el directorio de destino definido y los extrae a la dirección C2 codificada. Luego, todos los archivos se reemplazan con sus versiones cifradas.

La rutina del robo de datos
La rutina del robo de datos
Fuente: Anexo Seguro

Tucker descubrió que la extensión sondea un repositorio privado de GitHub en busca de comandos, verifica periódicamente un archivo ‘index.html’ que usa un token PAT para la autenticación e intenta ejecutar cualquier comando allí.

Al aprovechar el PAT codificado, el investigador podría acceder a la información del host y descubrir que el propietario del repositorio probablemente tenga su sede en Azerbaiyán.

Debido a que la extensión es una amenaza abierta, puede ser el resultado de un experimento para probar el proceso de investigación de Microsoft.

La extensión de ransomware en el mercado de VS Code
La extensión de ransomware en el mercado de VS Code
Fuente: BleepingComputer

Etiquetas de anexo seguro susvsex un ‘desastre de IA’ con sus acciones maliciosas expuestas en el archivo README, pero señala que algunos ajustes lo harían mucho más peligroso.

BleepingComputer se ha puesto en contacto con Microsoft sobre el problema y estamos esperando su respuesta. Mientras susvsex estaba presente en el momento de escribir este artículo, ya no estaba disponible al momento de su publicación.

Fenómeno

A medida que MCP (Protocolo de contexto modelo) se convierte en el estándar para conectar los LLM a herramientas y datos, los equipos de seguridad se están moviendo rápidamente para mantener seguros estos nuevos servicios.

Esta hoja de trucos gratuita describe 7 mejores prácticas que puede comenzar a utilizar hoy.



Source link