Extensão maliciosa com capacidades de ransomware

Extensão maliciosa com capacidades de ransomware entra na loja oficial Visual Studio Code (Marketplace) — análise aprofundada

No início de novembro de 2025, pesquisadores da Secure Annex identificaram uma extensão maliciosa publicada na loja de extensões do Visual Studio Code, sob o nome “susvsex” e com autor identificado como “suspublisher18”. A extensão fingia ser legítima, mas sua descrição, código-fonte e artefatos internos revelavam funcionalidades de ransomware — compactação de arquivos (.zip), cifragem com AES-256-CBC, upload para servidor remoto de comando e controle (C2) e ativação quase imediata após a instalação.

 

Funcionamento técnico da ameaça

Ao instalar a extensão, ela imediatamente disparava a execução do arquivo extension.js, que continha variáveis codificadas com IP do servidor C2, tokens de acesso (PAT) para repositório GitHub e chaves de cifragem. Conforme a análise, o módulo verificava a presença de um arquivo-marcador, realizava a compactação de dados de um diretório pré-configurado, os enviava ao C2 e em seguida cifrava os originais, substituindo-os por versões criptografadas. A extensão utilizava o GitHub como infraestrutura C2, monitorando o commit em um index.html para novas ordens e escrevendo resultados em requirements.txt.

Uma característica curiosa é que o código apresentava “comentários” internos que indicavam ter sido gerado via inteligência artificial (IA) — o que levou os pesquisadores a classificar a ameaça como “AI-slop” (código gerado por IA, não refinado).

 

Vetores de entrega, evasão e contexto de risco

A publicação da extensão maliciosa em mercado oficial evidencia vulnerabilidades nos processos de revisão e verificação da plataforma do VS Code. Mesmo com descrição aberta sobre as funcionalidades maliciosas — “zips, uploads and encrypts files from C:\Users\Public\testing on Windows” — a extensão permaneceu disponível após reporte inicial, sendo removida apenas após divulgação pública e cobrança da comunidade.

Adicionalmente, o uso de infraestrutura “legítima” (GitHub) e diretórios relativamente neutros para teste (“Users/Public/testing”) reduzam suspeitas iniciais e facilitam a infiltração. A extensão poderia facilmente evoluir para alvo mais amplo ou diretório padrão de usuário em próximas versões. O ecossistema de extensões para IDEs passa a ser vetor de ataque relevante, especialmente em ambientes de desenvolvimento ou CI/CD onde permissões elevadas podem ser concedidas.

 

Implicações para desenvolvedores, empresas e cadeias de fornecimento

  • Desenvolvedores individuais ou equipes pequenas: a instalação de extensões explícitas no ambiente de desenvolvimento representa risco direto de exfiltração de código-fonte, credenciais internas, bastando que a extensão conte com permissões de leitura/escrita.

  • Empresas e ambientes corporativos: extensões maliciosas em IDEs podem servir como porta de entrada para ataques de supply chain, acesso à infraestrutura de build, publicação de artefatos ou inserção de malwares em pipelines.

  • Governança de software e cadeia de fornecimento: a publicação de código malicioso em marketplace oficiais demonstra que o ciclo de vida de softwares abertos (open source) e extensões complementares exige políticas de segurança, listas brancas, revisão de permissões e análise de comportamento. O fato de código potencialmente gerado por IA ter passado despercebido também levanta questões sobre automação no desenvolvimento e reutilização de pacotes/extensões sem auditoria.

 

Recomendações de mitigação e resposta

  • Política de permissões restritas: limitar a instalação de extensões em ambientes de desenvolvimento críticos, delegar permissões mínimas, revisar quais extensões têm acesso a disco e rede.

  • Lista branca (allow-list) de extensões confiáveis: para organizações, criar catálogos internos de extensões validadas, evitando instalação indiscriminada de componentes de terceiros.

  • Monitoramento de comportamento e auditoria: implementar detecção de anomalias em arquivos de projeto, processos de build/pipeline, atividades de rede não usuais originadas de IDEs ou hosts de desenvolvimento.

  • Educação de desenvolvedores: conscientizar sobre riscos de extensões: até “ferramentas de produtividade” podem ocultar funcionalidades maliciosas — verificar autor, código-fonte (se aberto), permissões, e reputação antes da instalação.

  • Resposta a incidentes de supply chain: manter plano de remediação para casos em que código de build ou artefatos foram comprometidos via extensão maliciosa — análise forense, revogação de credenciais, reconstrução de ambientes limpos, e análise de impacto (incluindo código-fonte e publicação).

  • Revisão de permissões de rede e segregaçao: garantir que hosts de desenvolvimento/IDE não tenham privilégios irrestritos de escrita/execução em produção ou publicação automática — isolar builds, pipeline e produção.

 

Conclusão

O incidente envolvendo a extensão “susvsex” no VS Code Marketplace serve como alerta potente para a comunidade de desenvolvimento, segurança e governança de software: a cadeia de fornecimento de software estendeu-se para ambientes de IDEs e extensões aparentemente benignas. A combinação de IA para geração de código, uso de infraestrutura legitima  (como GitHub), acessos amplos concedidos a plugins de desenvolvimento e falhas nos processos de revisão de marketplaces abriu uma janela para riscos de ransomware, exfiltração e comprometimento de ambientes de desenvolvimento e produção. Proteger ambientes de código exige não apenas boas práticas de patch ou antivírus, mas uma postura de defesa profunda: restrição de permissões, visibilidade constante, auditoria de extensões e políticas de governança de software. Em suma: em 2025, a segurança de software não é apenas “quem desenvolve”, mas “o que e como instala”, e isso se tornou um vetor crítico de proteção ou risco.

 

Referências bibliográficas