概要:悪意あるVS Code拡張機能の発見
Microsoftの公式VS Codeマーケットプレイスに、基本的なランサムウェア機能を備えた悪意ある拡張機能が公開されていたことが判明しました。この拡張機能は「susvsex」と名付けられ、「suspublisher18」によって公開されました。驚くべきことに、その悪意ある機能は説明文の中で公然と宣伝されていました。
Secure Annexの研究者であるジョン・タックナー氏がこの「susvsex」を発見し、そのコードは「vibe coding」の産物であり、洗練されたものではないと述べています。タックナー氏は、ファイルがリモートサーバーに窃取され、AES-256-CBCで暗号化されるという拡張機能の明示的な説明を報告しましたが、Microsoftは当初この報告を無視し、VS Codeレジストリから削除しませんでした。
ランサムウェア拡張機能の動作メカニズム
この拡張機能は、インストール時やVS Codeの起動時など、あらゆるイベントでアクティブ化されます。アクティブ化されると、ハードコードされた変数(IPアドレス、暗号化キー、コマンド&コントロール(C2)アドレス)を含む「extension.js」ファイルが初期化されます。タックナー氏によると、これらの値には「コードが発行者によって直接書かれたものではなく、AIによって生成された可能性が非常に高い」ことを示すコメントが含まれていました。
アクティベーション後、拡張機能は「zipUploadAndEncrypt」という関数を呼び出します。この関数は、マーカーテキストファイルの存在を確認し、暗号化ルーチンを開始します。定義されたターゲットディレクトリ内のファイルを.ZIPアーカイブに圧縮し、ハードコードされたC2アドレスに外部送信します。その後、すべてのファイルは暗号化されたバージョンに置き換えられます。
データ窃盗とコマンド&コントロール
タックナー氏の調査により、この拡張機能がプライベートなGitHubリポジトリを定期的にポーリングしてコマンドを取得していることが明らかになりました。認証にはPAT(Personal Access Token)を使用し、「index.html」ファイルをチェックして、そこに記述されたコマンドを実行しようとします。このハードコードされたPATを利用することで、研究者はホスト情報にアクセスし、リポジトリの所有者がアゼルバイジャンを拠点としている可能性が高いことを突き止めました。
セキュリティ上の示唆とMicrosoftの対応
Secure Annexは「susvsex」を「AIスロップ」と評していますが、いくつかの調整を加えるだけで、はるかに危険なものになる可能性があると指摘しています。この拡張機能は、Microsoftの審査プロセスをテストするための実験であった可能性も考えられます。
BleepingComputerはMicrosoftにこの問題について連絡を取り、回答を待っていました。記事執筆時点では「susvsex」は存在していましたが、公開時にはすでに利用できなくなっていました。