“AI เขียนโค้ดมัลแวร์! ส่วนขยาย VS Code ปลอมแฝงแรนซัมแวร์ โผล่บน Marketplace ของ Microsoft”
นักวิจัยด้านความปลอดภัย John Tuckner จาก Secure Annex พบส่วนขยายชื่อว่า “susvsex” บน VS Code Marketplace ของ Microsoft ซึ่งทำหน้าที่เป็น แรนซัมแวร์ โดยตรง! ที่น่าตกใจคือมันระบุชัดเจนในคำอธิบายว่า “จะ zip, upload และเข้ารหัสไฟล์จาก C:\Users\Public\testing” และยังใช้ GitHub เป็นช่องทางควบคุมคำสั่ง (command-and-control)
ที่สำคัญคือโค้ดของส่วนขยายนี้มีลักษณะ “vibe-coded” หรือเขียนโดยใช้ AI ผ่าน prompt ภาษาอังกฤษ ไม่ใช่โค้ดที่เขียนด้วยมือแบบปกติ และยังฝัง เครื่องมือถอดรหัสและคีย์ ไว้ในแพ็กเกจด้วย!
จุดอ่อนของระบบ Marketplace
Microsoft ไม่ได้ลบส่วนขยายทันทีหลังได้รับรายงาน
ใช้เวลาเกือบ 8 ชั่วโมงหลังจากโพสต์บล็อกก่อนจะลบออก
นักวิจัยตั้งข้อสงสัยว่าอาจเป็นการ “ทดสอบระบบรีวิว” ก่อนการโจมตีจริงที่ซับซ้อนกว่า
รายละเอียดของส่วนขยาย susvsex
ระบุชัดเจนว่า zip, upload และเข้ารหัสไฟล์
ใช้ GitHub เป็นช่องทางควบคุมคำสั่ง
เขียนด้วย AI ผ่าน prompt ไม่ใช่โค้ดมือ
ฝังเครื่องมือถอดรหัสและคีย์ไว้ในแพ็กเกจ
การตอบสนองของ Microsoft
ไม่ลบส่วนขยายทันทีหลังได้รับรายงาน
ใช้เวลา 8 ชั่วโมงหลังโพสต์บล็อกจึงลบออก
URL ของส่วนขยายตอนนี้กลายเป็น “404 – Page not found”
ข้อสังเกตจากนักวิจัย
อาจเป็นการทดสอบระบบรีวิวของ Microsoft
เมตาดาต้าชี้ไปยังผู้ใช้ GitHub ในเมือง Baku ประเทศอาเซอร์ไบจาน
โค้ดมีคอมเมนต์ที่บ่งชี้ว่าไม่ได้เขียนโดยมนุษย์
คำเตือนสำหรับนักพัฒนาและผู้ใช้ VS Code
อย่าติดตั้งส่วนขยายจากผู้พัฒนาไม่รู้จักโดยไม่ตรวจสอบโค้ด
ส่วนขยายที่มีคำอธิบายแปลกหรือชัดเจนเกินไปอาจเป็นกับดัก
ควรใช้ VS Code ใน sandbox หรือ VM หากต้องทดลองส่วนขยายใหม่
Microsoft ควรปรับปรุงระบบรีวิวให้ตรวจจับภัยคุกคามได้เร็วขึ้น
https://www.techradar.com/pro/security/malicious-ai-made-extension-with-ransomware-capabilities-sneaks-on-to-microsofts-official-vs-code-marketplace
นักวิจัยด้านความปลอดภัย John Tuckner จาก Secure Annex พบส่วนขยายชื่อว่า “susvsex” บน VS Code Marketplace ของ Microsoft ซึ่งทำหน้าที่เป็น แรนซัมแวร์ โดยตรง! ที่น่าตกใจคือมันระบุชัดเจนในคำอธิบายว่า “จะ zip, upload และเข้ารหัสไฟล์จาก C:\Users\Public\testing” และยังใช้ GitHub เป็นช่องทางควบคุมคำสั่ง (command-and-control)
ที่สำคัญคือโค้ดของส่วนขยายนี้มีลักษณะ “vibe-coded” หรือเขียนโดยใช้ AI ผ่าน prompt ภาษาอังกฤษ ไม่ใช่โค้ดที่เขียนด้วยมือแบบปกติ และยังฝัง เครื่องมือถอดรหัสและคีย์ ไว้ในแพ็กเกจด้วย!
จุดอ่อนของระบบ Marketplace
Microsoft ไม่ได้ลบส่วนขยายทันทีหลังได้รับรายงาน
ใช้เวลาเกือบ 8 ชั่วโมงหลังจากโพสต์บล็อกก่อนจะลบออก
นักวิจัยตั้งข้อสงสัยว่าอาจเป็นการ “ทดสอบระบบรีวิว” ก่อนการโจมตีจริงที่ซับซ้อนกว่า
รายละเอียดของส่วนขยาย susvsex
ระบุชัดเจนว่า zip, upload และเข้ารหัสไฟล์
ใช้ GitHub เป็นช่องทางควบคุมคำสั่ง
เขียนด้วย AI ผ่าน prompt ไม่ใช่โค้ดมือ
ฝังเครื่องมือถอดรหัสและคีย์ไว้ในแพ็กเกจ
การตอบสนองของ Microsoft
ไม่ลบส่วนขยายทันทีหลังได้รับรายงาน
ใช้เวลา 8 ชั่วโมงหลังโพสต์บล็อกจึงลบออก
URL ของส่วนขยายตอนนี้กลายเป็น “404 – Page not found”
ข้อสังเกตจากนักวิจัย
อาจเป็นการทดสอบระบบรีวิวของ Microsoft
เมตาดาต้าชี้ไปยังผู้ใช้ GitHub ในเมือง Baku ประเทศอาเซอร์ไบจาน
โค้ดมีคอมเมนต์ที่บ่งชี้ว่าไม่ได้เขียนโดยมนุษย์
คำเตือนสำหรับนักพัฒนาและผู้ใช้ VS Code
อย่าติดตั้งส่วนขยายจากผู้พัฒนาไม่รู้จักโดยไม่ตรวจสอบโค้ด
ส่วนขยายที่มีคำอธิบายแปลกหรือชัดเจนเกินไปอาจเป็นกับดัก
ควรใช้ VS Code ใน sandbox หรือ VM หากต้องทดลองส่วนขยายใหม่
Microsoft ควรปรับปรุงระบบรีวิวให้ตรวจจับภัยคุกคามได้เร็วขึ้น
https://www.techradar.com/pro/security/malicious-ai-made-extension-with-ransomware-capabilities-sneaks-on-to-microsofts-official-vs-code-marketplace
🧨🧠 “AI เขียนโค้ดมัลแวร์! ส่วนขยาย VS Code ปลอมแฝงแรนซัมแวร์ โผล่บน Marketplace ของ Microsoft”
นักวิจัยด้านความปลอดภัย John Tuckner จาก Secure Annex พบส่วนขยายชื่อว่า “susvsex” บน VS Code Marketplace ของ Microsoft ซึ่งทำหน้าที่เป็น แรนซัมแวร์ โดยตรง! ที่น่าตกใจคือมันระบุชัดเจนในคำอธิบายว่า “จะ zip, upload และเข้ารหัสไฟล์จาก C:\Users\Public\testing” และยังใช้ GitHub เป็นช่องทางควบคุมคำสั่ง (command-and-control)
ที่สำคัญคือโค้ดของส่วนขยายนี้มีลักษณะ “vibe-coded” หรือเขียนโดยใช้ AI ผ่าน prompt ภาษาอังกฤษ ไม่ใช่โค้ดที่เขียนด้วยมือแบบปกติ และยังฝัง เครื่องมือถอดรหัสและคีย์ ไว้ในแพ็กเกจด้วย!
🧠 จุดอ่อนของระบบ Marketplace
🔖 Microsoft ไม่ได้ลบส่วนขยายทันทีหลังได้รับรายงาน
🔖 ใช้เวลาเกือบ 8 ชั่วโมงหลังจากโพสต์บล็อกก่อนจะลบออก
🔖 นักวิจัยตั้งข้อสงสัยว่าอาจเป็นการ “ทดสอบระบบรีวิว” ก่อนการโจมตีจริงที่ซับซ้อนกว่า
✅ รายละเอียดของส่วนขยาย susvsex
➡️ ระบุชัดเจนว่า zip, upload และเข้ารหัสไฟล์
➡️ ใช้ GitHub เป็นช่องทางควบคุมคำสั่ง
➡️ เขียนด้วย AI ผ่าน prompt ไม่ใช่โค้ดมือ
➡️ ฝังเครื่องมือถอดรหัสและคีย์ไว้ในแพ็กเกจ
✅ การตอบสนองของ Microsoft
➡️ ไม่ลบส่วนขยายทันทีหลังได้รับรายงาน
➡️ ใช้เวลา 8 ชั่วโมงหลังโพสต์บล็อกจึงลบออก
➡️ URL ของส่วนขยายตอนนี้กลายเป็น “404 – Page not found”
✅ ข้อสังเกตจากนักวิจัย
➡️ อาจเป็นการทดสอบระบบรีวิวของ Microsoft
➡️ เมตาดาต้าชี้ไปยังผู้ใช้ GitHub ในเมือง Baku ประเทศอาเซอร์ไบจาน
➡️ โค้ดมีคอมเมนต์ที่บ่งชี้ว่าไม่ได้เขียนโดยมนุษย์
‼️ คำเตือนสำหรับนักพัฒนาและผู้ใช้ VS Code
⛔ อย่าติดตั้งส่วนขยายจากผู้พัฒนาไม่รู้จักโดยไม่ตรวจสอบโค้ด
⛔ ส่วนขยายที่มีคำอธิบายแปลกหรือชัดเจนเกินไปอาจเป็นกับดัก
⛔ ควรใช้ VS Code ใน sandbox หรือ VM หากต้องทดลองส่วนขยายใหม่
⛔ Microsoft ควรปรับปรุงระบบรีวิวให้ตรวจจับภัยคุกคามได้เร็วขึ้น
https://www.techradar.com/pro/security/malicious-ai-made-extension-with-ransomware-capabilities-sneaks-on-to-microsofts-official-vs-code-marketplace
0 Comments
0 Shares
35 Views
0 Reviews
Thai