Erweiterung verweist auf ein GitHub-basiertes C2
Ransomvibe setzt eine eher ungewöhnliche GitHub-basierte Command-and-Control-Infrastruktur (C2) ein, anstatt sich auf herkömmliche C2-Server zu verlassen. Die Erweiterung nutzt ein privates GitHub-Repository, um Befehle zu empfangen und auszuführen. Sie überprüft regelmäßig eine Datei namens „index.html“ auf neue Commits, führt die eingebetteten Befehle aus und schreibt die Ausgabe dann mit einem in der Erweiterung gebündelten GitHub Personal Access Token (PAT) zurück in „requirements.txt“.
Dieses C2-Verhalten ermöglicht nicht nur, Host-Daten zu exfiltrieren, sondern legt auch die Umgebung des Angreifers offen, deren Spuren auf einen GitHub-Benutzer in Baku hinweisen, dessen Zeitzone mit den von der Malware selbst protokollierten Systemdaten übereinstimmt.
Secure Annex bezeichnet dies als ein Musterbeispiel für die Entwicklung von KI-gestützter Malware, mit falsch platzierten Quelldateien (einschließlich Entschlüsselungstools und dem C2-Code des Angreifers) und einer README.md-Datei, die die schädliche Funktionalität ausdrücklich beschreibt. Tuckner argumentiert jedoch, dass der eigentliche Fehler im Überprüfungssystem des Microsoft Marketplace liegt, das die Erweiterung nicht erkannt hat.
