資安研究人員發現一款具備基本勒索軟體功能的惡意 Visual Studio Code 擴充程式,疑似為利用人工智慧技術所自動生成,被研究人員稱為「Vibe-Coded」惡意軟體。
研究人員 John Tuckner 標記了這款名為「
susvsex」的擴充程式,指出它並未試圖隱藏其惡意功能。該擴充程式於 2025 年 11 月 5 日由使用者「suspublisher18」上傳,描述為「Just testing」,並使用「donotsupport@example[.]com」作為聯絡信箱。
根據擴充程式說明,它會在首次啟動時自動壓縮、上傳並加密特定目錄中的檔案。在 Windows 系統中會針對 C:\Users\Public\testing 目錄,macOS 系統則是 /tmp/testing 目錄。微軟已於 11 月 6 日將其從官方 VS Code 擴充程式市集移除。
這款擴充程式會在任何事件觸發時自動啟動,包括安裝或啟動 VS Code。啟動後會呼叫「zipUploadAndEncrypt」函式,將目標目錄建立成 ZIP 壓縮檔、外洩至遠端伺服器,並用加密版本取代原始檔案。
所幸 TARGET_DIRECTORY 目前設定為測試暫存目錄,影響有限。但研究員警告,攻擊者可輕易透過擴充程式更新或 C2 通道發送指令來變更目標。
除了加密功能,這款惡意擴充程式還利用 GitHub 作為命令與控制(C2)伺服器,透過輪詢私有儲存庫並解析「index.html」檔案來執行新命令。指令執行結果會透過程式碼中嵌入的 GitHub 存取權杖,寫回同一儲存庫的「requirements.txt」檔案。
與該儲存庫相關的 GitHub 帳號「aykhanmv」目前仍處於活躍狀態,開發者聲稱來自亞塞拜然首都巴庫。
Tuckner 指出,「Vibe-Coded」惡意軟體有幾個明顯特徵,包括詳細說明功能的多餘註解、包含執行指令的 README 檔案,以及佔位變數。更嚴重的是,這個擴充程式套件意外包含了解密工具、C2 伺服器程式碼,以及 C2 伺服器的 GitHub 存取金鑰,這些資訊可被其他人用來接管 C2 伺服器。
17 個木馬化 npm 套件散布 Vidar 資訊竊取程式
資安業者 Datadog Security Labs
發現 17 個偽裝成正常軟體開發套件(SDK)的 npm 套件。這些套件雖然提供宣稱的功能,但會在受感染系統上秘密執行 Vidar Stealer 資訊竊取程式。而這也是該竊取程式首次透過 npm 註冊表散布。
這個被追蹤為
MUT-4831 的攻擊行動,最早於 2025 年 10 月 21 日被標記,隨後在 10 月 22 日和 26 日有後續上傳。這些套件由「aartje」和「saliii229911」兩個帳號發布,
共 17 個套件如下:
- abeya-tg-api
- bael-god-admin
- bael-god-api
- bael-god-thanks
- botty-fork-baby
- cursor-ai-fork
- cursor-app-fork
- custom-telegram-bot-api
- custom-tg-bot-plan
- icon-react-fork
- react-icon-pkg
- sabaoa-tg-api
- sabay-tg-api
- sai-tg-api
- salli-tg-api
- telegram-bot-start
- telegram-bot-starter
雖然這兩個帳號已被封鎖,但這些函式庫在下架前至少被下載了 2,240 次。不過 Datadog 指出,許多下載可能來自自動化爬蟲。
攻擊鏈透過 package.json 檔案中的 postinstall 腳本啟動,從外部伺服器(bullethost[.]cloud 網域)下載 ZIP 壓縮檔並執行其中的 Vidar 執行檔。Vidar 2.0 樣本使用硬編碼的 Telegram 和 Steam 帳號作為死信箱解析器(Dead Drop Resolver)來取得實際的 C2 伺服器位址。
在某些變種中,直接嵌入 package.json 檔案的 post-install PowerShell 腳本會先下載 ZIP 壓縮檔,再將執行控制權交給 JavaScript 檔案完成後續攻擊步驟。
目前尚不清楚 MUT-4831 為何改變 postinstall 腳本的實作方式。一個可能的解釋是,多樣化的實作手法有助於威脅行為者規避偵測。
這項發現只是眾多針對開源生態系統的供應鏈攻擊之一,攻擊目標涵蓋 npm、PyPI、RubyGems 和 Open VSX 等平台。
開發者在安裝套件前應進行盡職調查、檢視變更日誌,並留意錯字仿冒(Typosquatting)和相依性混淆(Dependency Confusion)等攻擊手法。
本文轉載自 TheHackerNews。