- Ekstensi VS Code berbahaya ‘susvsex’ bertindak sebagai ransomware dan menggunakan GitHub untuk kontrol perintah
- Ekstensi muncul yang dihasilkan oleh AI, dengan kunci dekripsi tertanam dan metadata yang mencurigakan
- Microsoft menghapusnya setelah adanya tekanan publik, sehingga meningkatkan kekhawatiran tentang kesenjangan tinjauan pasar
Ekstensi berbahaya telah dipublikasikan pada Microsoftpasar resmi VS Code, dan dapat bertahan di sana selama beberapa waktu mengumpulkan unduhan dan menginfeksi komputer orang.
Peneliti keamanan John Tuckner dari Secure Annex menemukan dan melaporkan ekstensi tersebut ke Microsoft, dengan mencatat bahwa ekstensi tersebut berfungsi sebagai ransomware dan yang lebih buruk lagi, menjadikannya “sangat berbahaya” dengan menyatakan, dalam deskripsi, apa fungsinya: “Ekstensi VS Code yang secara otomatis meng-zip, mengunggah, dan mengenkripsi file dari C:\Users\Public\testing di Windows.”
Dia juga menjelaskan bahwa ekstensi tersebut, yang disebut ‘susvsex’, memanfaatkan GitHub sebagai saluran perintah-dan-kontrol dan jelas-jelas diberi kode getaran (ditulis dengan bantuan AI dan perintah bahasa alami, bukan melalui baris-baris kode). Beberapa bukti ekstensi yang dihasilkan AI termasuk pengembang meninggalkan alat dekripsi dan kunci dalam paket ekstensi.
Malware berkode getaran
“Banyak dari nilai-nilai ini memiliki komentar yang menunjukkan bahwa kode tersebut tidak ditulis langsung oleh penerbit dan kemungkinan besar dihasilkan melalui AI,” tambah Tuckner.
Karena metadata dalam kode tersebut menunjuk ke pengguna GitHub di Baku, peneliti berspekulasi bahwa penyerang berlokasi di Azerbaijan. BleepingComputer juga berargumentasi bahwa ekstensi tersebut, karena jelas-jelas berbahaya, bisa saja hanya merupakan pengujian terhadap proses peninjauan Visual Studio Marketplace Microsoft, sebagai persiapan menghadapi serangan yang lebih berbahaya dan lebih dikaburkan.
Ironisnya, Microsoft pada awalnya mengabaikan laporan Tuckner dan tidak menghapusnya dari registri VS Code. Kira-kira delapan jam setelah postingan blog tersebut dipublikasikan, Tuckner memposting sebuah tweet, mengatakan “Saya sudah mencoba. Belum ada tanggapan dari ‘Laporkan penyalahgunaan’ di daftar pasar. Ekstensi masih tersedia.”
Namun, tampaknya Microsoft merespons untuk sementara waktu, karena URL ekstensi sekarang mengarah ke situs “404 – Halaman tidak ditemukan”.
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
