Недавно в официальном магазине расширений Visual Studio Code было выявлено вредоносное расширение под названием 'susvsex', которое функционировало как программное обеспечение-вымогатель. Это расширение оставалось доступным для загрузки в течение некоторого времени, что позволило ему заразить компьютеры пользователей.
Исследователь безопасности обнаружил, что 'susvsex' автоматически архивирует, загружает и шифрует файлы из папки C:\Users\Public\testing на Windows. Более того, оно использовало GitHub в качестве канала управления, что делает его еще более опасным. В описании расширения прямо указывалось, что оно делает, что вызвало удивление у многих экспертов.
Интересно, что в коде расширения были оставлены инструменты и ключи для расшифровки, что указывает на то, что оно могло быть сгенерировано с помощью искусственного интеллекта. Это также подтверждается комментариями в коде, которые свидетельствуют о том, что разработчик не писал его вручную.
Исследователь предположил, что злоумышленник может находиться в Азербайджане, так как метаданные в коде указывают на пользователя GitHub из этой страны. Некоторые эксперты также высказали мнение, что это расширение могло быть тестом для проверки процесса ревью в магазине Microsoft перед более серьезной атакой.
Изначально Microsoft проигнорировала сообщение о вредоносном расширении, однако после публикации блога и общественного давления расширение было удалено с платформы. Теперь его URL ведет на страницу с ошибкой 404.
Эта ситуация подчеркивает важность тщательной проверки расширений и программного обеспечения, которое мы используем, особенно в свете растущих угроз в области кибербезопасности.