Extensión Maliciosa de VS Code Codificada por Vibe Encontrada con Capacidades Integradas de Ransomware

Investigadores en ciberseguridad han descubierto una extensión maliciosa de Visual Studio Code (VS Code) llamada "susvsex" que posee capacidades rudimentarias de ransomware. Se cree que esta extensión fue creada con la ayuda de inteligencia artificial, a menudo referida como malware 'codificado por vibe', y fue detectada por el investigador John Tuckner de Secure Annex. Curiosamente, la extensión no intenta ocultar su naturaleza maliciosa. Fue subida el 5 de noviembre de 2025 por un usuario que se hace llamar "suspublisher18" con una descripción minimalista, "Solo probando", y una dirección de correo electrónico obviamente falsa: "donotsupport@example.com." La funcionalidad declarada de la extensión es comprimir automáticamente, subir y encriptar archivos de un directorio predefinido (C:\Users\Public\testing en Windows o /tmp/testing en macOS) al iniciarse por primera vez.\n\nMicrosoft actuó rápidamente y para el 6 de noviembre ya había eliminado la extensión del Marketplace oficial de VS Code. La rutina maliciosa principal de la extensión, llamada "zipUploadAndEncrypt", se activa automáticamente con cualquier evento desencadenante como la instalación o el lanzamiento de VS Code. Esta función comprime una carpeta objetivo en un archivo ZIP, lo envía a un servidor remoto y luego encripta los archivos en ese directorio, haciéndolos inaccesibles sin la clave de descifrado. Afortunadamente, el directorio objetivo está configurado por defecto a una carpeta de prueba, lo que limita el daño actual pero podría cambiarse fácilmente con una actualización futura o mediante comandos enviados a través de un canal encubierto de mando y control (C2).\n\nHablando de C2, el malware usa astutamente repositorios de GitHub como su centro de comando. Consulta periódicamente un repositorio privado de GitHub para nuevos comandos leyendo un archivo "index.html" y escribe los resultados de ejecución en un archivo "requirements.txt" usando un token de acceso a GitHub codificado en la extensión. La cuenta de GitHub vinculada, "aykhanmv", sigue activa, y el desarrollador afirma estar basado en Bakú, Azerbaiyán. Comentarios detallados, archivos README con instrucciones de ejecución y variables de marcador de posición dejadas en el código sugieren fuertemente una creación asistida por IA, o 'codificación por vibe'. Por un error, el paquete de la extensión incluyó componentes cruciales como herramientas de descifrado, código del servidor y tokens de GitHub, lo que podría permitir a otros secuestrar la infraestructura C2.\n\nEn un hallazgo relacionado, Datadog Security Labs identificó 17 paquetes npm maliciosos que se hacen pasar por kits de desarrollo de software (SDK) legítimos. Estos paquetes, subidos entre el 21 y el 26 de octubre de 2025 por cuentas llamadas "aartje" y "saliii229911", instalan sigilosamente el ladrón de información Vidar en sistemas comprometidos. Esta es la primera vez que Vidar se distribuye a través del registro npm. Aunque las cuentas fueron rápidamente bloqueadas, los paquetes ya habían sido descargados más de 2,200 veces, muchas posiblemente por raspadores automáticos.\n\nEl mecanismo de ataque dentro de estos paquetes npm se basa en scripts postinstall definidos en sus archivos "package.json". Estos scripts descargan un archivo ZIP de un servidor externo y ejecutan el malware Vidar contenido dentro. Las variantes usan diferentes métodos: algunas ejecutan un script de PowerShell antes de correr JavaScript para completar la cadena de infección. Las muestras de Vidar analizadas por Datadog usan cuentas codificadas de Telegram y Steam como puntos de entrega para localizar los servidores de comando reales. Los investigadores especulan que las diferentes implementaciones postinstall ayudan a evadir la detección variando las firmas de comportamiento.\n\nEstos incidentes se suman a una lista creciente de ataques a la cadena de suministro que apuntan a ecosistemas de código abierto como npm, PyPI, RubyGems y Open VSX. Destacan la importancia crítica para los desarrolladores de actuar con precaución, revisar cuidadosamente los registros de cambios y estar atentos a vectores comunes de ataque como typosquatting y confusión de dependencias al incorporar paquetes de terceros. El aumento en el desarrollo de malware asistido por IA y las compromisos cada vez más sofisticados de la cadena de suministro subrayan la urgente necesidad de prácticas de seguridad mejoradas en las comunidades de desarrollo de software.