Une utilisation très complète de Visual-Studio-Code avec des fonctions Ransomware est prévue pour la sécurité de Microsofts Marketplace.
Le spécialiste de la sécurité Secure Annex est vraiment à la fête, avec un nom de logiciel malveillant « Ransomvibe » dans les solutions pour l’éditeur de code Visual Studio Code créé. « Sobald the Erweiterung aktiviert ist, wird zunächst die Funktion zipUploadAndEcnrypt ausgeführt. Cette fonction est destinée aux ransomwares et aux logiciels d’édition typiques et techniques », il est dans la recherche.
Demnach wird das Verzeichnis als Testumgebung konfiguriert, sodass die Auswirkungen derzeit gering sind. « Il peut y avoir des problèmes avec une mise à jour de mise à jour ou une mise à jour de Fernbefehl », a déclaré Forscher.
Laut Secure Annex est gérée par le programme de programmation sécurisé d’un code codifié par l’ambiance, de la plus grande raffinerie aufweist. « Il s’agit d’un exemple de l’environnement de travail, du code des serveurs et des serveurs de contrôle, qui s’étend avec des tabourets de stockage dans le paquet d’outils fonctionnels le plus efficace possible », a déclaré John Tuckner de Secure Annex et a expliqué l’erweiterung. Un « offensichtlich bösartige » Marktplatzbeschreibung enthält.
« Le signal d’avertissement offensif est détecté par le code via le filtre de vérification de Microsoft », a déclaré Tuckner dans un X-Beitrag.
Notes sur le code généré par KI
La modification avec le nom « suspublisher18.susvsex » contient la date « package.json », qui, selon Ereignis, est effectuée automatiquement lors de l’installation. Zudem ermöglicht es das Tool, Befehls- und Kontrollfunktionen zu testen. La partie interne des points d’accès « extension.js » fournit aux chercheurs des variables codées, une URL de serveur, un lien de transfert, une zone C2 et un intervalle de raccourci. Die meisten ceser Variablen weisen darauf hin, dass der Code durch KI generiert wurde.
Les programmes de développement complets basés sur Python et Node sont essentiels. Zusätzlich wurde ein fest codierter Entschlüsselungsschlüssel eingefügt.
Mise à jour disponible sur une base GitHub C2
Ransomvibe définit une infrastructure de commande et de contrôle (C2) unique basée sur GitHub, qui répond à son serveur C2 approprié. L’installation comprend un dépôt GitHub privé, un lieu de stockage et d’utilisation. Vous pouvez définir un nom de date « index.html » sur les nouveaux commits, puis les afficher et les afficher dans la configuration du jeton d’accès personnel GitHub (PAT) dans « requirements.txt ».
Cette version C2 n’est pas disponible, les données de l’hôte pour l’exfiltration, mais elles sont également disponibles pour l’utilisation des logiciels malveillants, les recherches sur un GitHub-Benutzer à Bakou en fin de compte, dans la zone d’information des logiciels malveillants, les protocoles système les plus récents ont été publiés.
Secure Annex est également un aperçu de la détection des logiciels malveillants KI-gest, avec de fausses dates de mise à jour (un seul outil de démarrage et le code C2 des logiciels malveillants) et un README.md-Datei, la fonction la plus classique. ausdrücklich beschreibt. Tuckner argumente en effet que l’entreprise proprement dite dans le système de vérification du Microsoft Marketplace est en mesure de faire en sorte que l’entreprise ne soit pas disponible.
Alors Microsoft réagit
Microsoft a déclaré que l’utilisation du Marketplace s’est effectuée à ce moment-là. Jede Erweiterungsseite im Marktplatz enthält einen Link « Missbrauch melden ». Alle Meldungen würden geprüft, hieß es. « Quand une configuration est effectuée ou qu’une Schwachstelle est générée, la configuration est effectuée sur la place du marché, dans une liste déroulante et automatiquement désinstallé VS Code », a déclaré le Tech-Gigant. Unternehmen, die den Zugriff auf den Marktplatz verhindern möchten, können die durch das Sperren bestimmter Endpunkte tun, heißt es weiter.
Jüngste Vorfälle hasen gezeigt, dass bösartige or unachtsame Erweiterungen zu ainem wiederkehrenden Problem im Visual Studio Code-Ökosystem werden – une fuite de données, etere stehlen stillschweigend Code ou schürfen Kryptowährung. (jm)
