O marketplace oficial do Visual Studio Code da Microsoft, uma plataforma geralmente considerada segura para programadores, está a alojar uma extensão maliciosa com capacidades básicas de ransomware. Denominada susvsex, a extensão foi descoberta recentemente e, de forma irónica, a sua própria descrição adverte abertamente para as suas funcionalidades destrutivas.
O que faz esta extensão?
A descoberta foi partilhada pelo investigador John Tuckner, da Secure Annex. Segundo a análise, a extensão, publicada pelo utilizador ‘suspublisher18,' não tenta de todo esconder as suas intenções. A descrição na loja oficial menciona explicitamente o roubo de ficheiros para um servidor remoto e a encriptação (cifragem) de todos os ficheiros do utilizador através do algoritmo AES-256-CBC.
A extensão é ativada em qualquer evento, incluindo a própria instalação ou o arranque do VS Code. Nesse momento, executa um ficheiro ('extension.js') que contém variáveis fixas (hardcoded), como o endereço IP do servidor de comando e controlo (C2) e as chaves de encriptação.
O processo malicioso cria um arquivo .ZIP dos ficheiros num diretório alvo, envia-os para o servidor C2 e, de seguida, substitui todos os ficheiros originais pelas suas versões encriptadas.
Criada com "vibe coding" e IA
Tuckner salienta que o código está longe de ser sofisticado, descrevendo-o como "vibe coding". Muitos dos comentários presentes no código sugerem que o autor não o escreveu diretamente, sendo muito provável que tenha sido gerado com recurso a ferramentas de Inteligência Artificial.
A extensão consulta ainda, periodicamente, um repositório privado no GitHub para obter novos comandos. O investigador descobriu que, ao tirar partido de um token PAT (Personal Access Token) deixado no código, conseguiu aceder a informações do anfitrião, descobrindo que o proprietário do repositório estará, provavelmente, baseado no Azerbaijão.
O perigo do "AI slop" e a inação da Microsoft
Apesar de a extensão ser uma ameaça óbvia, com as suas ações maliciosas detalhadas na própria descrição, o relatório enviado por Tuckner à Microsoft foi ignorado. No momento da publicação da análise da Secure Annex, a extensão permanecia disponível no marketplace oficial do VS Code.
A empresa de segurança classifica a susvsex como "AI slop" (lixo de IA), mas deixa um aviso sério. Embora rudimentar, a extensão serve como um teste preocupante ao processo de verificação da Microsoft. Com apenas alguns ajustes, poderia tornar-se numa ameaça muito mais perigosa.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech