{"id":23482,"date":"2025-11-14T08:00:00","date_gmt":"2025-11-14T11:00:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=23482"},"modified":"2025-11-09T22:38:43","modified_gmt":"2025-11-10T01:38:43","slug":"extensao-maliciosa-com-capacidades-de-ransomware","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/11\/exploits\/extensao-maliciosa-com-capacidades-de-ransomware\/","title":{"rendered":"Extens\u00e3o maliciosa com capacidades de ransomware"},"content":{"rendered":"\n

Extens\u00e3o maliciosa com capacidades de ransomware entra na loja oficial Visual Studio Code (Marketplace) \u2014 an\u00e1lise aprofundada<\/strong><\/p>\n

No in\u00edcio de novembro de 2025, pesquisadores da Secure Annex identificaram uma extens\u00e3o maliciosa publicada na loja de extens\u00f5es do Visual Studio Code, sob o nome \u201csusvsex\u201d e com autor identificado como \u201csuspublisher18\u201d. A extens\u00e3o fingia ser leg\u00edtima, mas sua descri\u00e7\u00e3o, c\u00f3digo-fonte e artefatos internos revelavam funcionalidades de ransomware \u2014 compacta\u00e7\u00e3o de arquivos (.zip), cifragem com AES-256-CBC, upload para servidor remoto de comando e controle (C2) e ativa\u00e7\u00e3o quase imediata ap\u00f3s a instala\u00e7\u00e3o.<\/p>\n

\u00a0<\/p>\n

Funcionamento t\u00e9cnico da amea\u00e7a<\/strong><\/p>\n

Ao instalar a extens\u00e3o, ela imediatamente disparava a execu\u00e7\u00e3o do arquivo extension.js<\/code>, que continha vari\u00e1veis codificadas com IP do servidor C2, tokens de acesso (PAT) para reposit\u00f3rio GitHub e chaves de cifragem. Conforme a an\u00e1lise, o m\u00f3dulo verificava a presen\u00e7a de um arquivo-marcador, realizava a compacta\u00e7\u00e3o de dados de um diret\u00f3rio pr\u00e9-configurado, os enviava ao C2 e em seguida cifrava os originais, substituindo-os por vers\u00f5es criptografadas. A extens\u00e3o utilizava o GitHub como infraestrutura C2, monitorando o commit em um index.html<\/code> para novas ordens e escrevendo resultados em requirements.txt<\/code>.<\/p>\n

Uma caracter\u00edstica curiosa \u00e9 que o c\u00f3digo apresentava \u201ccoment\u00e1rios\u201d internos que indicavam ter sido gerado via intelig\u00eancia artificial (IA) \u2014 o que levou os pesquisadores a classificar a amea\u00e7a como \u201cAI-slop\u201d (c\u00f3digo gerado por IA, n\u00e3o refinado).<\/p>\n

\u00a0<\/p>\n

Vetores de entrega, evas\u00e3o e contexto de risco<\/strong><\/p>\n

A publica\u00e7\u00e3o da extens\u00e3o maliciosa em mercado oficial evidencia vulnerabilidades nos processos de revis\u00e3o e verifica\u00e7\u00e3o da plataforma do VS Code. Mesmo com descri\u00e7\u00e3o aberta sobre as funcionalidades maliciosas \u2014 \u201czips, uploads and encrypts files from C:\\Users\\Public\\testing on Windows\u201d \u2014 a extens\u00e3o permaneceu dispon\u00edvel ap\u00f3s reporte inicial, sendo removida apenas ap\u00f3s divulga\u00e7\u00e3o p\u00fablica e cobran\u00e7a da comunidade.<\/p>\n

Adicionalmente, o uso de infraestrutura \u201cleg\u00edtima\u201d (GitHub) e diret\u00f3rios relativamente neutros para teste (\u201cUsers\/Public\/testing\u201d) reduzam suspeitas iniciais e facilitam a infiltra\u00e7\u00e3o. A extens\u00e3o poderia facilmente evoluir para alvo mais amplo ou diret\u00f3rio padr\u00e3o de usu\u00e1rio em pr\u00f3ximas vers\u00f5es. O ecossistema de extens\u00f5es para IDEs passa a ser vetor de ataque relevante, especialmente em ambientes de desenvolvimento ou CI\/CD onde permiss\u00f5es elevadas podem ser concedidas.<\/p>\n

\u00a0<\/p>\n

Implica\u00e7\u00f5es para desenvolvedores, empresas e cadeias de fornecimento<\/strong><\/p>\n