AI-Slop勒索软件测试版潜入VS Code应用市场

一款具有基本勒索功能、疑似借助AI生成的恶意扩展程序已发布到微软官方VS Code应用市场。该扩展名为susvsex，由“suspublisher18”发布，其恶意功能在描述中公然注明。

Secure Annex 的研究员John Tuckner 发现了这个扩展。他表示，延期是“氛围编程”的产物，技术复杂度较低。

尽管Tuckner 报告了该扩展程序及其明确的功能描述——，其中透露它将窃取文件到远程服务器并通过AES-256-CBC 算法加密所有文件，但微软并未采纳他的报告，也没有从VS Code 应用市场中删除该扩展程序。

勒索软件扩展的工作原理当触发任何事件时，包括安装完成或启动VS Code 时，该扩展都会被激活，并随后初始化包含硬编码变量（IP 地址、加密密钥、命令和控制服务器地址）的“extension.js”文件。

塔克纳指出：“这些变量大部分都有注释，表明代码不是发布者直接编写的，很可能是由人工智能生成的。”激活后，扩展程序将调用名为zipUploadAndEncrypt 的函数来检查标记的文本文件是否存在，然后开始加密过程。

它将指定目标目录中的文件压缩为ZIP 存档，将其窃取到硬编码的命令和控制(C2) 服务器地址，然后用加密版本替换所有原始文件。

数据盗窃例行公事

该扩展程序轮询私有GitHub 存储库以获取指令，定期检查通过个人访问令牌(PAT) 验证的“index.html”文件，并尝试执行其中的所有命令。

借助硬编码的PAT令牌，研究人员成功获取了主机信息，发现仓库的主人疑似位于阿塞拜疆。由于该扩展是公然的威胁，因此发布它可能是为了测试微软的审核流程。

VS Code 市场上的勒索软件扩展

Secure Annex将susvsex称为“AI slop”，其恶意行为在自述文件（README）中得到了充分暴露，但同时也指出，只需进行微小的修改，该扩展的危险性就会大大增加。目前susvsex已经下架。