Uma extensão maliciosa com funcionalidades básicas de ransomware, aparentemente desenvolvida com o auxílio de inteligência artificial, foi publicada no marketplace oficial do Visual Studio Code, da Microsoft.
Batizada como susvsex e lançada pelo usuário “suspublisher18”, a extensão revela sua função maliciosa abertamente na descrição.
O pesquisador da Secure Annex, John Tuckner, identificou o susvsex e classifica seu código como “vibe coding”, ou seja, algo pouco sofisticado e improvisado.
Apesar de Tuckner ter reportado a extensão e sua descrição explícita — que detalha o roubo de arquivos para um servidor remoto e a encriptação de todos os arquivos utilizando AES-256-CBC —, a Microsoft ignorou a denúncia e não removeu o plugin do marketplace do VS Code.
A extensão é ativada em qualquer evento, incluindo a instalação ou o lançamento do Visual Studio Code, inicializando o arquivo “extension.js”, que contém variáveis hardcoded, como IP, chaves de criptografia e o endereço do comando e controle (C2).
“Vários desses valores possuem comentários que indicam que o código não foi escrito diretamente pelo publicador e provavelmente foi gerado por uma IA”, explica Tuckner.
Ao ser ativada, a extensão executa a função zipUploadAndEncrypt, que verifica a existência de um arquivo texto marcador e inicia a rotina de encriptação.
Ela cria um arquivo .ZIP com os arquivos do diretório-alvo definido e os exfiltra para o endereço C2 hardcoded.
Em seguida, todos os arquivos originais são substituídos por suas versões criptografadas.
Tuckner descobriu ainda que a extensão consulta periodicamente um repositório privado no GitHub para receber comandos, verificando um arquivo “index.html” que utiliza um token PAT para autenticação, e tenta executar quaisquer comandos encontrados ali.
Explorando o token PAT embutido, o pesquisador obteve acesso a informações do host e apurou que o proprietário do repositório provavelmente está no Azerbaijão.
Por se tratar de uma ameaça tão evidente, acredita-se que essa extensão tenha sido um experimento para testar o processo de validação da Microsoft.
A Secure Annex classificou o susvsex como um “AI slop” — um código malicioso rudimentar com suas ações expostas no arquivo README —, mas ressalta que algumas modificações simples poderiam torná-lo muito mais perigoso.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...