发布于2025年12月3日12月3日 一款具有基本勒索功能、疑似借助AI生成的恶意扩展程序已发布到微软官方VS Code应用市场。该扩展名为susvsex,由“suspublisher18”发布,其恶意功能在描述中公然注明。 Secure Annex 的研究员John Tuckner 发现了这个扩展。他表示,延期是“氛围编程”的产物,技术复杂度较低。 尽管Tuckner 报告了该扩展程序及其明确的功能描述——,其中透露它将窃取文件到远程服务器并通过AES-256-CBC 算法加密所有文件,但微软并未采纳他的报告,也没有从VS Code 应用市场中删除该扩展程序。 勒索软件扩展的工作原理当触发任何事件时,包括安装完成或启动VS Code 时,该扩展都会被激活,并随后初始化包含硬编码变量(IP 地址、加密密钥、命令和控制服务器地址)的“extension.js”文件。 塔克纳指出:“这些变量大部分都有注释,表明代码不是发布者直接编写的,很可能是由人工智能生成的。”激活后,扩展程序将调用名为zipUploadAndEncrypt 的函数来检查标记的文本文件是否存在,然后开始加密过程。 它将指定目标目录中的文件压缩为ZIP 存档,将其窃取到硬编码的命令和控制(C2) 服务器地址,然后用加密版本替换所有原始文件。 数据盗窃例行公事 该扩展程序轮询私有GitHub 存储库以获取指令,定期检查通过个人访问令牌(PAT) 验证的“index.html”文件,并尝试执行其中的所有命令。 借助硬编码的PAT令牌,研究人员成功获取了主机信息,发现仓库的主人疑似位于阿塞拜疆。由于该扩展是公然的威胁,因此发布它可能是为了测试微软的审核流程。 VS Code 市场上的勒索软件扩展 Secure Annex将susvsex称为“AI slop”,其恶意行为在自述文件(README)中得到了充分暴露,但同时也指出,只需进行微小的修改,该扩展的危险性就会大大增加。目前susvsex已经下架。
