Microsoft’un resmi VS Code marketplace’inde, yapay zeka yardımıyla oluşturulmuş gibi görünen temel fidye yazılımı yeteneklerine sahip kötü niyetli bir uzantı yayımlandı. susvsex adı verilen bu uzantı, ‘suspublisher18’ adlı bir yayıncı tarafından yayımlandı ve kötü niyetli işlevselliği açık bir şekilde açıklamasında belirtiliyor. Secure Annex araştırmacısı John Tuckner, susvsex uzantısını keşfetti ve bunun “vibe coding” ürünü olduğunu belirtti; bu da uzantının oldukça sofistike olmadığını gösteriyor.
Uzantının açık tanımı ve dosya hırsızlığını, tüm dosyaların AES-256-CBC ile şifrelenmesini açıkça belirtmesine rağmen, Microsoft bu durumu göz ardı etti ve uzantıyı VS Code kayıt defterinden kaldırmadı. Bu, platformun güvenlik süreçlerinin sorgulanmasına sebep oldu.
Fidye Yazılımı Uzantısının Çalışma Prensibi
Uzantı, VS Code kurulumu sırasında veya başlatıldığında herhangi bir etkinlikte aktif hale geliyor. Bu, içindeki sert kodlanmış değişkenleri (IP, şifreleme anahtarları, komut ve kontrol adresi) içeren ‘extension.js’ dosyasının başlatılmasını sağlıyor. Tuckner, birçok değerin üzerinde yorumlar bulunduğunu ve kodun doğrudan yayımlayıcı tarafından yazılmadığını, muhtemelen yapay zeka tarafından üretildiğini belirtiyor.
Aktif hale geldiğinde, uzantı zipUploadAndEncrypt adlı bir fonksiyonu çağırıyor; bu fonksiyon, bir marker metin dosyasının varlığını kontrol ediyor ve şifreleme işlemini başlatıyor. Hedef dizindeki dosyaların bir .ZIP arşivi oluşturuluyor ve bu dosyalar sert kodlanmış C2 adresine sızdırılıyor. Tüm dosyalar, ardından şifrelenmiş versiyonları ile değiştiriliyor.
Kaynak: Secure Annex
Tuckner, uzantının komutlar için özel bir GitHub deposunu anlık olarak kontrol ettiğini ve burada kimlik doğrulaması için bir PAT token kullanarak ‘index.html’ dosyasını kontrol ettiğini tespit etti. Sert kodlanmış PAT kullanılarak, ev sahibi bilgilerine erişildi ve deponun sahibi muhtemelen Azerbaycan’da yaşamakta olduğu belirlendi.
Microsoft’un Tepkisi ve Güvenlik Sorunları
Fidye yazılımı uzantısının açık bir tehdit olması, Microsoft’un güvenlik denetim sürecini test etmek için bir deneyin sonucu olabilir. Secure Annex, susvsex uzantısını ‘AI slop’ olarak etiketleyerek, kötü niyetli eylemlerinin README dosyasında açıkça belirtildiğini vurguladı. Ancak bazı ufak değişikliklerin uzantıyı çok daha tehlikeli hale getirebileceği ifade edildi.
BleepingComputer, Microsoft ile iletişime geçti ve bu konudaki yanıtını bekliyor. Makale yazım tarihi itibarıyla susvsex uzantısı hâlâ mevcuttu, ancak yayım zamanı itibarıyla artık kullanılamaz hale gelmişti.
Eski anahtarları temizlemek veya yapay zeka destekli kod için koruma önlemleri almak istiyorsanız, bu kılavuz ekibinizin en baştan güvenli bir şekilde inşa etmesine yardımcı olacaktır.
Kılavuzu alın ve gizlilik yönetimindeki belirsizlikleri ortadan kaldırın.
