Investigadores de seguridad han identificado una extensión maliciosa del mercado de VS Code denominada “susvsex”, publicada por el usuario “suspublisher18” el 5 de noviembre de 2025. Lo más alarmante es que la extensión incorporaba funciones de ransomware y utilizaba una cuenta de GitHub como canal de Comando y Control (C2).
Ransomware Oculto en Extensión de VS Code
La extensión “susvsex” combina el vector de ataque del entorno de desarrollo con la capacidad destructiva del ransomware, apuntando directamente a desarrolladores y sus proyectos.
Mecanismo Técnico del Ataque
- Infección: Tras la descarga e instalación por el usuario, el evento activate() de la extensión invoca la función zipUploadAndEncrypt().
- Cifrado Local y Exfiltración: Esta función es responsable de:
Comprimir y cifrar archivos de un directorio objetivo (inicialmente, directorios de prueba como C:UsersPublictesting).
Subir los archivos cifrados a un servidor remoto.
Reemplazar los archivos locales por versiones cifradas, completando el acto de ransomware.
- C2 Encubierto (GitHub Dead-Drop): El malware establece una rutina de polling (sondeo) hacia un repositorio de GitHub (bajo el usuario “aykhanmv”) utilizando un token de GitHub embebido en el código.
Comandos: Lee comandos desde archivos de texto simples (como index.html) en el repositorio.
Resultados: Sube los resultados de la operación y la telemetría a archivos del mismo repositorio (como requirements.txt).
Implicaciones Críticas
- Ransomware Disfrazado: Esta es una amenaza de ransomware directa camuflada como una herramienta de productividad. La combinación es peligrosa: el compromiso de un solo endpoint de desarrollo puede llevar al cifrado directo de proyectos locales.
- Vector de Desarrollo (IDE): Los entornos de desarrollo (IDEs y sus extensiones) se están convirtiendo en nuevos vectores. Los desarrolladores a menudo ejecutan extensiones con permisos elevados, lo que convierte a la extensión maliciosa en una puerta de entrada a entornos de producción o CI/CD.
- C2 Evasivo: El uso de un repositorio de GitHub público/privado para C2 es altamente evasivo. Los comandos y resultados se ocultan en tráfico que, para las herramientas de red tradicionales, es simplemente “tráfico legítimo de GitHub”.
- Desarrollo Automático (Vibe-Coding): La inclusión de comentarios, variables placeholder y herramientas de descifrado “por accidente” sugiere que el adversario confió en la automatización (o IA) para el desarrollo, lo que reduce la barrera de entrada para ransomware sofisticado.
Recomendaciones
- Acción Inmediata (Desarrolladores y DevOps)
- Desinstalar: Verificar y desinstalar inmediatamente la extensión “susvsex” y cualquier otra extensión con nombres sospechosos o de publicadores desconocidos (ej., “suspublisher18”).
- Restricción de Extensiones: Aplicar políticas de empresa en VS Code para bloquear extensiones no aprobadas o usar mecanismos de “whitelisting”.
- Rotación de Credenciales: Asumir que las credenciales de desarrollo están comprometidas. Rotar todos los tokens de GitHub, npm y claves cloud utilizadas en las máquinas de desarrollo y CI/CD.
- Detección yThreatHunting (SOC / Operaciones)
- Monitoreo de Procesos: Crear detecciones para procesos que inician actividades de cifrado en carpetas de usuario inmediatamente después de abrir VS Code. Monitorizar la creación de archivos .zip o .encrypt y procesos de subida de blobs masivos.
- Auditoría de Red: Revisar conexiones de red desde estaciones de desarrollo hacia repositorios de GitHub desconocidos. Buscar actividad de subida de archivos (exfiltración) inusual hacia dominios externos o webhooks.
- Gestión de Cuentas: Implementar políticas corporativas de “gestión de extensiones” con lista blanca de editores y revisión periódica del catálogo instalado.
- Mitigación Estratégica
- Aislamiento de Build: Asegurar que los agentes de build o CI/CD no ejecuten extensiones de VS Code de terceros sin una revisión exhaustiva, o ejecutar el proceso de build en contenedores aislados y efímeros.
- Educación: Educar a los desarrolladores sobre el riesgo: una extensión aparentemente inofensiva puede contener malware de alto impacto.
