AI-Slop勒索软件测试版潜入VS Code应用市场

一款具备基础勒索软件功能、疑似借助AI生成的恶意扩展，已被发布至微软官方VS Code应用市场。该扩展名为susvsex，发布者为“suspublisher18”，其恶意功能在描述中被公然标注。

Secure Annex公司研究员John Tuckner发现了这款扩展，他表示该扩展是“氛围编程”的产物，技术复杂度较低。

尽管Tuckner已举报该扩展及其明确的功能描述——其中披露会将文件窃取至远程服务器，并通过AES-256-CBC算法加密所有文件，但微软未采纳其举报，也未将该扩展从VS Code应用市场移除。

勒索软件扩展的工作原理

该扩展会在任意事件触发时激活，包括安装完成时或VS Code启动时，随后初始化包含硬编码变量（IP地址、加密密钥、命令与控制服务器地址）的“extension.js”文件。

Tuckner指出：“这些变量中多数带有注释，表明代码并非发布者直接编写，极有可能是通过AI生成的。”激活后，扩展会调用名为zipUploadAndEncrypt的函数，检查标记文本文件是否存在，随后启动加密流程。

它会将指定目标目录下的文件压缩为ZIP归档文件，窃取至硬编码的命令与控制（C2）服务器地址，之后用加密版本替换所有原始文件。

数据盗窃例程

该扩展会轮询一个私人GitHub仓库获取指令，定期检查需通过个人访问令牌（PAT）验证的“index.html”文件，并尝试执行其中的所有命令。

借助硬编码的PAT令牌，研究员成功获取了主机信息，并发现该仓库的所有者疑似位于阿塞拜疆。由于该扩展是公然的威胁，其发布可能是为了测试微软的审核流程。

 VS Code 市场上的勒索软件扩展

Secure Annex将susvsex称为“AI slop”，其恶意行为在自述文件（README）中完全暴露，但同时指出，只需稍作修改，这款扩展的危险性将大幅提升。 目前susvsex已被下架。