Une extension suspecte de Visual Studio Code avec un comportement de cryptage de fichiers et de vol de données a réussi à contourner l’examen du marché et à entrer dans l’écosystème des développeurs.
Dans le cadre d’un effort de test présumé, des acteurs inconnus ont réussi à intégrer une souche de comportement de type ransomware, baptisée Ransomvibe, dans les extensions répertoriées pour Visual Studio Code.
Selon les conclusions de Secure Annex, le code malveillant publié sur le marché des extensions VSCode était clairement codé par vibration, manquant de réelle sophistication.
« Ce n’est pas un exemple sophistiqué car le code du serveur de commande et de contrôle a été accidentellement (?) inclus dans le package de l’extension publiée avec les outils de décryptage », a déclaré John Tuckner de Secure Annex, ajoutant que l’extension incluait une description du marché « manifestement malveillante ».
Bien que l’extension comporte des signaux d’alarme évidents, le code a échappé aux filtres d’examen de Microsoft et reste disponible même après avoir été signalé, a déclaré Tuckner dans un article X.
Le code malveillant inclut des capacités de cryptage et de vol de fichiers.
Erreur évidente d’IA dans le POC « Ransomvibe »
Selon Tuckner, l’extension malveillante de Visual Studio Code, nommée « VSX suspect » et publiée sous le pseudonyme tout aussi révélateur « Éditeur suspect », cachait sa charge utile à la vue de tous.
L’extension, répertoriée sous le nom « suspublisher18.susvsex », incluait « package.json » qui s’activait automatiquement à tout événement, même pendant l’installation, tout en offrant des utilitaires de palette de commandes pour « tester les fonctions de commande et de contrôle ». À l’intérieur du point d’entrée « extension.js », les chercheurs ont trouvé des variables codées en dur, notamment l’URL du serveur, les clés de chiffrement, les destinations C2 et les intervalles d’interrogation. La plupart de ces variables comportaient des commentaires indiquant que le code avait été généré via l’IA.
Lorsqu’elle est déclenchée, l’extension lance la compression et le cryptage des fichiers dans un répertoire désigné, en les téléchargeant sur un serveur de commande distant.
Tucker a noté que le répertoire cible a été configuré pour les tests, mais pourrait facilement être remplacé par un chemin réel du système de fichiers dans une future mise à jour ou par commande à distance. L’extension contenait deux décrypteurs, un en Python et un en Node, ainsi qu’une clé de décryptage codée en dur, éliminant ainsi la possibilité d’intentions malveillantes.
L’extension pointait vers un C2 basé sur GitHub
Ransomvibe a déployé une infrastructure de commande et de contrôle (C2) plutôt inhabituelle basée sur GitHub, au lieu de s’appuyer sur des serveurs C2 traditionnels. L’extension utilisait un référentiel GitHub privé pour recevoir et exécuter des commandes. Il vérifiait régulièrement les nouvelles validations dans un fichier nommé « index.html », exécutait les commandes intégrées, puis réécrivait la sortie dans « require.txt » à l’aide d’un jeton d’accès personnel (PAT) GitHub intégré à l’extension.
En plus de permettre l’exfiltration des données de l’hôte, ce comportement C2 a exposé le propre environnement de l’attaquant, dont les traces pointaient vers un utilisateur de GitHub à Bakou, dont le fuseau horaire correspondait aux données système enregistrées par le malware lui-même.
Secure Annex appelle cela un exemple classique de développement de logiciels malveillants assisté par l’IA, comprenant des fichiers sources égarés (y compris des outils de décryptage et le code C2 de l’attaquant) et un fichier README.md qui décrit explicitement sa fonctionnalité malveillante. Mais Tuckner affirme que le véritable échec réside dans le système d’examen du marché de Microsoft, qui n’a pas réussi à signaler l’extension.
Des incidents récents ont montré que les extensions malveillantes ou imprudentes deviennent un problème récurrent dans l’écosystème Visual Studio Code : certaines fuites d’informations d’identification et d’autres volent discrètement du code ou exploitent de la cryptomonnaie. Outre une liste d’IOC partagés, Secure Annex a publié Secure Annex Extension Manager, un outil conçu pour bloquer les extensions malveillantes connues et inventorier les modules complémentaires installés dans une organisation.
