fadfebrian – shutterstock.com
Der Sicherheitsspezialist Secure Annex stellte kürzlich fest, dass eine Schadsoftware namens „Ransomvibe” in Erweiterungen für den Quellcode-Editor Visual Studio Code eingebettet wurde. „Sobald die Erweiterung aktiviert ist, wird zunächst die Funktion zipUploadAndEcnrypt ausgeführt. Diese Funktion wendet alle für Ransomware und Erpressungssoftware typischen Techniken an“, heißt es im Forschungsbericht.
Demnach wird das Verzeichnis als Testumgebung konfiguriert, sodass die Auswirkungen derzeit gering sind. „Es kann jedoch problemlos mit einem Erweiterungsupdate oder per Fernbefehl aktualisiert werden“, mahnen die Forscher.
Laut Secure Annex handelt es sich bei dem veröffentlichten Schadprogramm um vibe-codierten Code, der keinerlei Raffinesse aufweist. „Dies ist kein ausgeklügeltes Beispiel, da der Code des Befehls- und Kontrollservers versehentlich zusammen mit Entschlüsselungstools in das veröffentlichte Erweiterungspaket aufgenommen wurde“, erklärt John Tuckner von Secure Annex und fügte hinzu, dass die Erweiterung eine „offensichtlich bösartige“ Marktplatzbeschreibung enthält.
„Obwohl die Erweiterung offensichtliche Warnsignale aufweist, schlüpfte der Code durch die Überprüfungsfilter von Microsoft“, betont Tuckner in einem X-Beitrag.
Hinweise auf KI generierten Code
Die Erweiterung mit dem Namen „suspublisher18.susvsex“ enthält die Datei “package.json”, das bei jedem Ereignis, sogar während der Installation, automatisch aktiviert wird. Zudem ermöglicht es das Tool, Befehls- und Kontrollfunktionen zu testen. Innerhalb des Einstiegspunkts „extension.js“ fanden die Forscher fest codierte Variablen, darunter Server-URL, Verschlüsselungsschlüssel, C2-Ziele und Abfrageintervalle. Die meisten dieser Variablen weisen darauf hin, dass der Code durch KI generiert wurde.
Die beiden enthaltenen Entschlüsselungsprogramme basieren auf Python und Node. Zusätzlich wurde ein fest codierter Entschlüsselungsschlüssel eingefügt.
Erweiterung verweist auf ein GitHub-basiertes C2
Ransomvibe setzt eine eher ungewöhnliche GitHub-basierte Command-and-Control-Infrastruktur (C2) ein, anstatt sich auf herkömmliche C2-Server zu verlassen. Die Erweiterung nutzt ein privates GitHub-Repository, um Befehle zu empfangen und auszuführen. Sie überprüft regelmäßig eine Datei namens „index.html“ auf neue Commits, führt die eingebetteten Befehle aus und schreibt die Ausgabe dann mit einem in der Erweiterung gebündelten GitHub Personal Access Token (PAT) zurück in „requirements.txt“.
Dieses C2-Verhalten ermöglicht nicht nur, Host-Daten zu exfiltrieren, sondern legt auch die Umgebung des Angreifers offen, deren Spuren auf einen GitHub-Benutzer in Baku hinweisen, dessen Zeitzone mit den von der Malware selbst protokollierten Systemdaten übereinstimmt.
Secure Annex bezeichnet dies als ein Musterbeispiel für die Entwicklung von KI-gestützter Malware, mit falsch platzierten Quelldateien (einschließlich Entschlüsselungstools und dem C2-Code des Angreifers) und einer README.md-Datei, die die schädliche Funktionalität ausdrücklich beschreibt. Tuckner argumentiert jedoch, dass der eigentliche Fehler im Überprüfungssystem des Microsoft Marketplace liegt, das die Erweiterung nicht erkannt hat.
So reagiert Microsoft
Microsoft gab an, die Erweiterung aus dem Marketplace entfernt zu haben. Jede Erweiterungsseite im Marktplatz enthält einen Link „Missbrauch melden”. Alle Meldungen würden geprüft, hieß es. „Wenn eine Erweiterung als bösartig eingestuft oder eine Schwachstelle gefunden wird, wird die Erweiterung aus dem Marktplatz entfernt, auf eine Sperrliste gesetzt und automatisch von VS Code deinstalliert“, so der Tech-Gigant. Unternehmen, die den Zugriff auf den Marktplatz verhindern möchten, können dies durch das Sperren bestimmter Endpunkte tun, heißt es weiter.
Jüngste Vorfälle haben gezeigt, dass bösartige oder unachtsame Erweiterungen zu einem wiederkehrenden Problem im Visual Studio Code-Ökosystem werden – einige leaken Anmeldedaten, andere stehlen stillschweigend Code oder schürfen Kryptowährung. (jm)
No Responses