En un presunto esfuerzo de prueba, actores desconocidos han integrado con éxito una variedad de comportamiento de estilo ransomware, denominado Ransomvibe, en extensiones listadas para Visual Studio Code.
Según los hallazgos de Secure Anexo, el código malicioso publicado en el mercado de extensiones VSCode era claramente codificado por vibracionescarente de toda sofisticación real.
«Este no es un ejemplo sofisticado ya que el código del servidor de comando y control se incluyó accidentalmente (?) en el paquete de la extensión publicada junto con las herramientas de descifrado», dijo John Tuckner de Secure Anexo, y agregó que la extensión incluía una descripción de mercado «descaradamente maliciosa».
A pesar de que la extensión conlleva obvias señales de alerta, el código pasó los filtros de revisión de Microsoft y permanece disponible incluso después de ser informado, dijo Tuckner en un X publicación.
El código malicioso incluye capacidades de robo y cifrado de archivos.
Obvia caída de la IA en el POC “Ransomvibe”
Según Tuckner, la extensión maliciosa de Visual Studio Code, denominada «VSX sospechoso» y publicada bajo el igualmente revelador alias «Editor sospechoso», ocultaba su carga útil a plena vista.
La extensión, catalogada como “suspublisher18.susvsex”, incluía “package.json” que se activaba automáticamente en cualquier evento, incluso durante la instalación, al tiempo que ofrecía utilidades de paleta de comandos para “probar funciones de comando y control”. Dentro del punto de entrada «extension.js», los investigadores encontraron variables codificadas que incluyen la URL del servidor, claves de cifrado, destinos C2 e intervalos de sondeo. La mayoría de estas variables llevaban comentarios que indicaban que el código se generó mediante IA.
Cuando se activa, la extensión inicia la compresión y el cifrado de archivos dentro de un directorio designado y los carga en un servidor de comando remoto.
Fatigar anotado que el directorio de destino fue configurado para pruebas, pero podría cambiarse fácilmente por una ruta real del sistema de archivos en una actualización futura o mediante un comando remoto. La extensión contenía dos descifradores, uno en Python y otro en Node, junto con una clave de descifrado codificada, eliminando la posibilidad de intenciones maliciosas.
Extensión apuntada a un C2 basado en GitHub
Ransomvibe implementó una infraestructura de comando y control (C2) basada en GitHub bastante inusual, en lugar de depender de servidores C2 tradicionales. La extensión utilizó un repositorio privado de GitHub para recibir y ejecutar comandos. Comprobó de forma rutinaria nuevas confirmaciones en un archivo llamado «index.html», ejecutó los comandos integrados y luego volvió a escribir el resultado en «requirements.txt» utilizando un token de acceso personal (PAT) de GitHub incluido dentro de la extensión.
Además de permitir la exfiltración de datos del host, este comportamiento de C2 expuso el propio entorno del atacante, cuyos rastros apuntaban a un usuario de GitHub en Bakú, cuya zona horaria coincidía con los datos del sistema registrados por el propio malware.
Secure Anexo llama a esto un ejemplo de libro de texto de desarrollo de malware asistido por IA, que presenta archivos fuente fuera de lugar (incluidas herramientas de descifrado y el código C2 del atacante) y un archivo README.md que describe explícitamente su funcionalidad maliciosa. Pero Tuckner sostiene que el verdadero fracaso reside en el sistema de revisión del mercado de Microsoft, que no detectó la extensión.
Microsoft dijo que había eliminado la extensión del mercado. La página de cada extensión en el mercado contiene un enlace «Informar abuso» y la compañía investiga todos los informes, dijo; cuando se verifica la naturaleza maliciosa de una extensión, o cuando se encuentra una vulnerabilidad en una dependencia de extensión, la extensión se elimina del mercado, se agrega a una lista de bloqueo y VS Code la desinstala automáticamente, dijo. Las empresas que deseen impedir el acceso al mercado pueden hacerlo mediante bloquear puntos finales específicosañadió.
Incidentes recientes han demostrado que las extensiones maliciosas o descuidadas se están convirtiendo en un problema recurrente en el ecosistema de Visual Studio Code, con algunas credenciales filtradas y otros en silencio robar código o minar criptomoneda. Además de una lista de IOC compartidas, Secure Anexo lanzó Secure Anexo Extension Manager, una herramienta diseñada para bloquear extensiones maliciosas conocidas e inventariar complementos instalados en toda una organización.
Un caso de malware en Visual Studio Code: Ransomvibe
Recientemente, un equipo de investigadores de seguridad de Secure Anexo descubrió una extensión maliciosa en el mercado de Visual Studio Code (VSCode) que integraba un comportamiento de estilo ransomware, denominado Ransomvibe. La extensión, publicada bajo el alias "Editor sospechoso", contenía código malicioso que podía robar y cifrar archivos, y estaba diseñada para comunicarse con un servidor de comando y control (C2) basado en GitHub.
Características de la extensión maliciosa
La extensión maliciosa, denominada "VSX sospechoso", estaba catalogada como "suspublisher18.susvsex" y ofrecía utilidades de paleta de comandos para "probar funciones de comando y control". El código de la extensión estaba escrito de manera poco sofisticada y contenía variables codificadas que incluíaban la URL del servidor, claves de cifrado, destinos C2 e intervalos de sondeo. La mayoría de estas variables llevaban comentarios que indicaban que el código se generó mediante inteligencia artificial (IA).
Comportamiento de la extensión
Cuando se activaba, la extensión iniciaba la compresión y el cifrado de archivos dentro de un directorio designado y los cargaba en un servidor de comando remoto. El directorio de destino estaba configurado para pruebas, pero podría cambiarse fácilmente por una ruta real del sistema de archivos en una actualización futura o mediante un comando remoto. La extensión contenía dos descifradores, uno en Python y otro en Node, junto con una clave de descifrado codificada, lo que eliminaba la posibilidad de intenciones maliciosas.
Infraestructura de comando y control (C2)
Ransomvibe implementó una infraestructura de C2 basada en GitHub, en lugar de depender de servidores C2 tradicionales. La extensión utilizó un repositorio privado de GitHub para recibir y ejecutar comandos. Comprobó de forma rutinaria nuevas confirmaciones en un archivo llamado "index.html", ejecutó los comandos integrados y luego volvió a escribir el resultado en "requirements.txt" utilizando un token de acceso personal (PAT) de GitHub incluido dentro de la extensión.
Exposición del entorno del atacante
El comportamiento de C2 expuso el propio entorno del atacante, cuyos rastros apuntaban a un usuario de GitHub en Bakú, cuya zona horaria coincidía con los datos del sistema registrados por el propio malware. Esto sugiere que el atacante podría haber cometido un error al no ocultar adecuadamente su identidad.
Revisión del mercado de Microsoft
El código malicioso pasó los filtros de revisión de Microsoft y permaneció disponible en el mercado incluso después de ser informado. Secure Anexo llama a esto un ejemplo de libro de texto de desarrollo de malware asistido por IA, que presenta archivos fuente fuera de lugar (incluidas herramientas de descifrado y el código C2 del atacante) y un archivo README.md que describe explícitamente su funcionalidad maliciosa.
Respuesta de Microsoft
Microsoft eliminó la extensión del mercado después de ser informada. La compañía investiga todos los informes de abuso y elimina las extensiones maliciosas del mercado, las agrega a una lista de bloqueo y VS Code las desinstala automáticamente.
Conclusión
El incidente de Ransomvibe destaca la importancia de la revisión y validación de las extensiones en el mercado de VSCode. Los usuarios deben ser cautelosos al instalar extensiones y verificar su procedencia y funcionalidad antes de hacerlo. Las empresas deben implementar medidas de seguridad para prevenir la instalación de extensiones maliciosas, como bloquear puntos finales específicos y utilizar herramientas de gestión de extensiones. Secure Anexo ofrece una herramienta llamada Secure Anexo Extension Manager para bloquear extensiones maliciosas conocidas e inventariar complementos instalados en toda una organización.