Yapay zekanın yardımıyla oluşturulmuş gibi görünen temel fidye yazılımı yeteneklerine sahip kötü amaçlı bir uzantı, Microsoft’un resmi VS Code pazarında yayınlandı.
Adlandırılmış susvsex ve ‘tarafından yayınlandı’suspublisher18,’ uzantısının kötü amaçlı işlevselliği, açıklamasında açıkça tanıtılmaktadır.
Secure Annex araştırmacısı John Tuckner keşfetti susvsex bunun “titreşim kodlaması”nın ürünü olduğunu ve karmaşıklıktan uzak olduğunu söylüyor.
Uzak bir sunucuya dosya hırsızlığını ve tüm dosyaların AES-256-CBC ile şifrelendiğini açıklayan uzantıyı ve açık açıklamasını bildirmesine rağmen Microsoft, Tuckner’ın raporunu görmezden geldi ve onu VS Code kayıt defterinden kaldırmadı.
Fidye yazılımı uzantısı nasıl çalışır?
Uzantı, kurulum sırasında veya VS Code’un başlatılması da dahil olmak üzere herhangi bir olayda etkinleştirilir ve sabit kodlanmış değişkenleri (IP, şifreleme anahtarları, komut ve kontrol adresi) içeren ‘extension.js’ dosyasını başlatır.
Tuckner, “Bu değerlerin çoğunda, kodun doğrudan yayıncı tarafından yazılmadığını ve büyük olasılıkla yapay zeka aracılığıyla oluşturulduğunu belirten yorumlar var” diyor.
Etkinleştirme sırasında uzantı, adlı bir işlevi çağırır. zipUploadAndEncrypt bir işaretleyici metin dosyasının varlığını kontrol eder ve şifreleme rutinini başlatır.
Tanımlanan hedef dizindeki dosyaların bir .ZIP arşivini oluşturur ve bunları sabit kodlu C2 adresine sızdırır. Daha sonra tüm dosyalar şifrelenmiş sürümleriyle değiştirilir.
Kaynak: Güvenli Ek
Tucker, uzantının komutlar için özel bir GitHub deposunu yokladığını, kimlik doğrulama için PAT belirteci kullanan bir ‘index.html’ dosyasını periyodik olarak kontrol ettiğini ve orada herhangi bir komutu çalıştırmaya çalıştığını buldu.
Araştırmacı, sabit kodlanmış PAT’tan yararlanarak ana bilgisayar bilgilerine erişebilir ve veri havuzunun sahibinin muhtemelen Azerbaycan’da bulunduğunu keşfedebilir.
Uzantı açık bir tehdit olduğundan, Microsoft’un inceleme sürecini test etmeye yönelik bir deneyin sonucu olabilir.
Kaynak: BleepingComputer
Güvenli Ek etiketleri susvsex README dosyasında kötü niyetli eylemlerinin açığa çıktığı bir ‘Yapay Zeka sızıntısı’ var, ancak birkaç ayarlamanın onu çok daha tehlikeli hale getireceğini belirtiyor.
BleepingComputer sorunla ilgili olarak Microsoft ile iletişime geçti ve onların yanıtını bekliyoruz. Sırasında susvsex Bu makalenin yazıldığı sırada mevcuttu, yayınlandığı tarihte artık mevcut değildi.
İster eski anahtarları temizliyor ister yapay zeka tarafından oluşturulan kod için korkuluklar kuruyor olun, bu kılavuz ekibinizin en başından itibaren güvenli bir şekilde geliştirme yapmasına yardımcı olur.
Hile sayfasını alın ve sır yönetimindeki tahminleri ortadan kaldırın.