Conteúdo
Investigadores de cibersegurança descobriram uma extensão maliciosa para Visual Studio Code (VS Code) chamada "susvsex" que possui capacidades rudimentares de ransomware. Esta extensão, acreditada ter sido criada com a ajuda de inteligência artificial — frequentemente referida como malware 'vibe-coded' — foi sinalizada pelo investigador da Secure Annex, John Tuckner. Curiosamente, a extensão não tenta ocultar a sua natureza maliciosa. Foi carregada a 5 de novembro de 2025 por um utilizador que se identifica como "suspublisher18" com uma descrição minimalista, "Apenas a testar," e um endereço de email obviamente falso: "donotsupport@example.com." A funcionalidade declarada da extensão é zipar, carregar e encriptar automaticamente ficheiros de um diretório predefinido (C:\Users\Public\testing no Windows ou /tmp/testing no macOS) na sua primeira execução.\n\nA Microsoft agiu rapidamente e, até 6 de novembro, já tinha removido a extensão do Marketplace oficial do VS Code. A rotina maliciosa principal da extensão, chamada "zipUploadAndEncrypt," ativa-se automaticamente em qualquer evento desencadeador, como instalação ou lançamento do VS Code. Esta função comprime uma pasta alvo num arquivo ZIP, envia-o para um servidor remoto e depois encripta os ficheiros nesse diretório, tornando-os inacessíveis sem a chave de desencriptação. Felizmente, o diretório alvo está definido por defeito para uma pasta de teste, o que limita os danos atuais, mas poderia ser facilmente alterado com uma atualização futura ou via comandos enviados por um canal oculto de comando e controlo (C2).\n\nFalando em C2, o malware usa astutamente repositórios do GitHub como seu centro de comando. Ele consulta periodicamente um repositório privado do GitHub para novos comandos lendo um ficheiro "index.html" e escreve os resultados da execução num ficheiro "requirements.txt" usando um token de acesso GitHub codificado na extensão. A conta GitHub associada, "aykhanmv," permanece ativa, com o desenvolvedor alegando estar baseado em Baku, Azerbaijão. Comentários detalhados, ficheiros README com instruções de execução e variáveis placeholder deixadas no código indicam fortemente uma criação assistida por IA, ou 'vibe coding.' Num erro, o pacote da extensão incluiu por engano componentes cruciais como ferramentas de desencriptação, código do servidor e tokens do GitHub, potencialmente permitindo que outros sequestrassem a infraestrutura C2.\n\nNuma descoberta relacionada, os Laboratórios de Segurança da Datadog identificaram 17 pacotes npm maliciosos que se disfarçam de kits de desenvolvimento de software (SDKs) legítimos. Estes pacotes, carregados entre 21 e 26 de outubro de 2025 por contas chamadas "aartje" e "saliii229911," instalam furtivamente o ladrão de informações Vidar em sistemas comprometidos. Esta é a primeira vez que o Vidar é distribuído através do registo npm. Embora as contas tenham sido rapidamente banidas, os pacotes já tinham sido descarregados mais de 2.200 vezes, com muitas descargas possivelmente devido a raspadores automáticos.\n\nO mecanismo de ataque nestes pacotes npm baseia-se em scripts postinstall definidos nos seus ficheiros "package.json." Estes scripts descarregam um arquivo ZIP de um servidor externo e executam o malware Vidar contido dentro. As variantes usam métodos diferentes: algumas executam um script PowerShell antes de correr JavaScript para completar a cadeia de infeção. Amostras de Vidar analisadas pela Datadog usam contas codificadas do Telegram e Steam como pontos de entrega para localizar os servidores de comando reais. Os investigadores especulam que as diferentes implementações postinstall ajudam a evitar a deteção variando as assinaturas comportamentais.\n\nEstes incidentes juntam-se a uma lista crescente de ataques à cadeia de fornecimento que visam ecossistemas open-source como npm, PyPI, RubyGems e Open VSX. Destacam a importância crítica para os desenvolvedores de exercer cautela, rever cuidadosamente os registos de alterações e estar atentos a vetores comuns de ataque como typosquatting e confusão de dependências ao incorporar pacotes de terceiros. O aumento do desenvolvimento de malware assistido por IA e compromissos cada vez mais sofisticados da cadeia de fornecimento sublinham a necessidade urgente de práticas de segurança reforçadas nas comunidades de desenvolvimento de software.
