資安領域正見證一個令人不安的轉變,即惡意軟體開發的技能門檻,可能因為人工智慧(AI)的廣泛應用而大幅降低。
由於基於 vibe 編碼的勒索軟體似乎已作為微軟 AI 代碼編輯器 Visual Studio Code (VS Code) 的擴充功能發布,因此威脅行為者的技能門檻可能很快就會降低。軟體擴充管理供應商 Secure Annex 的創始人 John Tuckner 於 11 月 4 日發表了一篇研究博文,描述了他所謂的「ransomvibing」,即 vibe 編碼的勒索軟體。這是一個發佈在 Visual Studio Marketplace 上的擴充程序,不同尋常的是,它似乎並沒有隱藏其加密和竊取資料的事實。 Tuckner寫道,該擴充功能「明顯帶有 vibe 編碼的特徵」。
在更廣泛的威脅行為者生態系統中,威脅行為者已經利用人工智慧產生惡意軟體和網路釣魚郵件,但從頭到尾基於人工智慧編碼的勒索軟體卻很少見,甚至可以說聞所未聞。
這一事件標誌著網路犯罪技術的顯著演變。過去,開發功能完整的勒索軟體需要高階的程式設計知識和對加密技術的理解。然而,「ransomvibing」的概念,暗示著威脅行為者能透過 AI 輔助,迅速生成惡意程式碼,並將其包裝成看似無害的開發工具。這對全球軟體供應鏈安全構成了新的挑戰。
雖然這個名為「susvsex」的惡意擴充功能只是一個粗糙的例子,但它引發了一個問題:人工智慧生成的勒索軟體的概念究竟能發展到什麼程度?susvsex 擴充功能在 VS Marketplace上的清單(現已移除)非常露骨,其描述中宣稱它可以「自動壓縮、上傳和加密檔案」到遠端命令與控制 (C2) 伺服器。這種直白的惡意意圖,反而凸顯了微軟在審核機制上的重大疏忽。
Tuckner 對微軟在應用程式市場的審核機制表達了強烈擔憂。「我對微軟在 Visual Studio Marketplace 的審核力度感到非常擔憂。這是一個明目張膽的惡意軟體,任何一種審核機制都應該能將其攔截」Tuckner說。這類程式碼編輯器擴充功能由於其高權限的特性,一旦被安裝,幾乎能存取開發者工作環境中的所有敏感資訊,包括原始碼、API 密鑰、組態檔案,甚至是雲端服務的憑證。如果惡意擴充功能能夠成功執行勒索軟體行為,開發者的整個專案和系統將面臨被加密或資料外洩的風險。
Tuckner 描述了他向微軟舉報的過程:「我透過兩個管道進行了舉報:一是 Marketplace 頁面上列出的『報告問題』電子郵件,二是微軟安全響應中心 (MSRC)。MSRC 的提交被判定超出範圍並關閉。Marketplace 支援團隊要求我提供更多訊息,之後才發出移除通知。」MSRC 將此類針對應用程式市場的舉報視為「超出範圍」(Out of Scope),這反映了大型科技公司在處理非核心漏洞或平台政策違規時,可能存在的流程僵化和反應遲鈍問題。審核機制的失效,使得惡意擴充功能得以在數百萬開發者使用的官方平台上公開存在一段時間,這期間潛在的損害是難以估量的。
微軟發言人對此事件回應了 Dark Reading,表示:「我們感謝 Secure Annex 負責任地報告了這個問題。我們已經進行了調查並移除了該擴展程序。」發言人補充說:「當惡意擴展程序被報告並得到驗證,或者在擴展程序依賴項中發現漏洞時,該擴展程序將從應用程序商店中移除,添加到阻止列表中,並由 VS Code 自動卸載。」雖然微軟最終採取了行動,但該事件作為一個案例研究,明確指出在 AI 驅動的惡意軟體時代,傳統的、基於人工的應用程式市場審核流程,已不足以應對威脅的快速迭代。
「Ransomvibing」的概念,雖然目前體現於一個相對粗糙的惡意程式,但其背後潛藏的趨勢令人擔憂。它預示著未來勒索軟體的開發將更加普及化、自動化和多樣化。攻擊者不再需要成為頂尖駭客,透過 AI 平台和工具,即可在短時間內生成具有專業級加密和竊密功能的惡意程式。這將使許多小型和中型企業更難以防禦。
此事件對所有使用 VS Code 擴充功能的開發者和組織提出了警示:
擴充功能審慎安裝: 即使是來自官方市場,也應仔細檢查擴充功能的發佈者、下載量、評價和權限要求。對於宣稱具有檔案存取、網路通訊或加密等敏感功能的擴充功能,應格外警惕。
沙箱化開發環境: 考慮在虛擬機或沙箱環境中運行高風險的開發任務,以隔離主系統,防止惡意擴充功能影響整個工作站。
供應鏈安全: 企業應將開發工具和相關擴充功能視為軟體供應鏈攻擊的潛在入口,實施嚴格的審核流程。
總而言之,susvsex 擴充功能及其「ransomvibing」威脅,不僅是又一起網路攻擊事件,更是對全球軟體平台安全的一次警鐘。它迫使我們正視 AI 賦能下的網路威脅新常態,並要求軟體巨頭如微軟,必須大幅強化其應用程式市場的自動化和即時安全審核機制,以有效遏止這類低技能門檻、高威脅潛力的新型惡意軟體。
資料來源:https://www.darkreading.com/application-security/ransomvibing-infests-visual-studio-extension-market