TokyoBlackHatNews

csoonline.com 4分で読了

Vibeコード化されたランサムウェアの概念実証がMicrosoftのマーケットプレイスに掲載される

ファイル暗号化やデータ窃取の挙動を持つ疑わしいVisual Studio Code拡張機能が、マーケットプレイスの審査をすり抜けて開発者エコシステムに入り込んだ。

不明な関係者によるテストの一環とみられる試みで、Ransomvibeと名付けられたランサムウェア型の挙動がVisual Studio Code向け拡張機能に組み込まれ、公開された。

Secure Annexの調査によると、VSCode拡張機能マーケットプレイスに公開された悪意あるコードは明らかにVibeコード化されており、特に高度なものではなかった。

「これは高度な例ではありません。コマンド&コントロールサーバーのコードが復号ツールと一緒に拡張機能パッケージに誤って(?)含まれていました」とSecure AnnexのJohn Tucknerは述べ、拡張機能には「明らかに悪意のある」マーケットプレイス説明文も含まれていたと付け加えた。

拡張機能には明らかな警告サインがあったにもかかわらず、Microsoftの審査フィルターをすり抜け、報告後もなお利用可能な状態が続いているとTucknerはXの投稿で述べている。

悪意あるコードにはファイルの暗号化や窃取の機能が含まれている。

「Ransomvibe」POCに見られる明らかなAIの粗雑さ

Tucknerによれば、「suspicious VSX」と名付けられ、「Suspicious publisher」という分かりやすい別名で公開された悪意あるVisual Studio Code拡張機能は、ペイロードを隠すことなく堂々と含んでいた。

「suspublisher18.susvsex」として掲載されたこの拡張機能には、「package.json」が含まれており、インストール時を含むあらゆるイベントで自動的に有効化され、「コマンド&コントロールのテスト」機能を提供するコマンドパレットユーティリティも備えていた。「extension.js」のエントリーポイント内には、サーバーURLや暗号鍵、C2の宛先、ポーリング間隔などのハードコーディングされた変数が見つかった。これらの多くには、AIによって生成されたコードであることを示すコメントが付けられていた。

トリガーされると、拡張機能は指定されたディレクトリ内のファイルを圧縮・暗号化し、リモートのコマンドサーバーにアップロードする。

Tuckerは指摘しているように、ターゲットディレクトリはテスト用に設定されていたが、今後のアップデートやリモートコマンドによって実際のファイルシステムパスに簡単に変更できる。拡張機能にはPythonとNodeの2種類の復号ツールとハードコーディングされた復号鍵が含まれており、悪意の可能性を排除している。

拡張機能はGitHubベースのC2を指していた

Ransomvibeは、従来のC2サーバーではなく、やや異例なGitHubベースのコマンド&コントロール(C2)インフラを展開した。拡張機能はプライベートなGitHubリポジトリを使ってコマンドの受信と実行を行った。「index.html」というファイルの新しいコミットを定期的にチェックし、埋め込まれたコマンドを実行、その出力を「requirements.txt」に書き戻していた。これには拡張機能内にバンドルされたGitHubパーソナルアクセストークン(PAT)が使われていた。

ホストデータの流出を可能にするだけでなく、このC2の挙動によって攻撃者自身の環境も露呈し、痕跡はバクー在住のGitHubユーザーを指し示していた。そのタイムゾーンはマルウェア自身が記録したシステムデータと一致していた。

Secure Annexはこれを、ソースファイル(復号ツールや攻撃者のC2コードを含む)の誤配置や、悪意ある機能を明示的に記述したREADME.mdファイルなど、AI支援によるマルウェア開発の典型例だと評している。しかしTucknerは、真の問題は拡張機能を見逃したMicrosoftのマーケットプレイス審査システムにあると主張している。

Microsoftは拡張機能をマーケットプレイスから削除したと述べている。マーケットプレイスの各拡張機能ページには「不正行為を報告」リンクがあり、同社はすべての報告を調査しているという。拡張機能の悪意性が確認された場合や依存関係に脆弱性が見つかった場合、その拡張機能はマーケットプレイスから削除され、ブロックリストに追加され、VS Codeによって自動的にアンインストールされる。企業がマーケットプレイスへのアクセスを防ぎたい場合は、特定のエンドポイントをブロックすることで対応できると付け加えている。

最近の事例から、悪意ある、あるいは不注意な拡張機能がVisual Studio Codeエコシステムで繰り返し問題となっていることが明らかになっている。中には認証情報を漏洩させるものや、静かにコードを盗んだり暗号資産をマイニングするものもある。Secure AnnexはIOCリストの共有に加え、既知の悪意ある拡張機能のブロックや組織内のアドオン管理を目的としたSecure Annex Extension Managerというツールも公開している。

翻訳元: https://www.csoonline.com/article/4086639/vibe-coded-ransomware-proof-of-concept-ended-up-on-microsofts-marketplace.html

ソース: csoonline.com
#.NET malware #3AM Ransomware #Africa cybersecurity #AI-generated code #Command and control (C2) #Data Exfiltration #GitHub C2 #Microsoft Marketplace #Visual Studio Code #VSCode extensions

関連記事

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く

トランプ大統領、撤回したAI大統領令の一部をサイバーセキュリティ重視の指令として復活