Программа-вымогатель AI-Slop пробирается на торговую площадку VS Code

Главная страница » Программа-вымогатель AI-Slop пробирается на торговую площадку VS Code

07.11.2025

Время чтения: 2 мин.

На официальной торговой площадке Microsoft для VS Code было опубликовано вредоносное расширение с базовыми возможностями программы-вымогателя, созданное, по всей видимости, с помощью искусственного интеллекта.

Расширение под названием susvsex, опубликованное suspublisher18, открыто рекламирует свои вредоносные функции в описании.

Исследователь Secure Annex Джон Такнер обнаружил susvsex и говорит, что это продукт «вибрационного кодирования», который далеко не так сложен, как может показаться.

Несмотря на сообщение о расширении и его подробное описание, в котором говорится о краже файлов на удалённый сервер и шифровании всех файлов с помощью AES-256-CBC, Microsoft проигнорировала сообщение Такнера и не удалила расширение из реестра VS Code.

Как работает расширение-вымогатель

Расширение активируется при любом событии, в том числе при установке или запуске VS Code, и инициализирует файл extension.js, содержащий жестко заданные переменные (IP-адрес, ключи шифрования, адрес для управления и контроля).

«Многие из этих значений имеют комментарии, указывающие на то, что код был написан не непосредственно издателем, а, скорее всего, сгенерирован искусственным интеллектом», говорит Такнер.

При активации расширение вызывает функцию zipUploadAndEncrypt, которая проверяет наличие текстового файла с маркером и запускает процедуру шифрования.

Он создает .ZIP-архив с файлами в указанном целевом каталоге и отправляет их на жестко запрограммированный адрес C2. Затем все файлы заменяются их зашифрованными версиями.

Процедура кражи данных
Источник: Secure Annex

Такер обнаружил, что расширение опрашивает частный репозиторий GitHub на предмет команд, периодически проверяя файл index.html, в котором для аутентификации используется токен PAT, и пытается выполнить любые команды из него.

Читать Новые правила для ИИ-помощников по кодированию при разработке ядра Linux: предложение Саши Левина (NVIDIA)

Используя жестко запрограммированный PAT, исследователь мог получить доступ к информации о хосте и выяснить, что владелец репозитория, скорее всего, находится в Азербайджане.

Поскольку расширение представляет собой явную угрозу, оно может быть результатом эксперимента по проверке процесса верификации Microsoft.

Расширение программы-вымогателя на торговой площадке VS Code

Secure Annex называет susvsex «отбросом ИИ» из-за его вредоносных действий, описанных в файле README, но отмечает, что несколько изменений сделают его гораздо более опасным.

BleepingComputer связался с Microsoft по поводу этой проблемы, и мы ждём их ответа. На момент написания этой статьи susvsex ещё существовал, но к моменту публикации он уже был недоступен.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.