Investigadores de Secure Annex han identificado en Visual Studio Code Marketplace un paquete publicado como herramienta de desarrollo que, en realidad, incorpora funciones típicas de malware. La extensión, denominada susvsex y firmada por el autor suspublisher18, combina exfiltración de información con cifrado de archivos en el host comprometido, lo que la convierte en un vector de ataque viable contra la cadena de suministro de entornos de desarrollo.
Qué encontraron los analistas: funciones de “stealer” y cifrado declaradas
De forma inusual, la extensión declara abiertamente en su descripción y README dos capacidades clave: subida de ficheros a un servidor remoto y cifrado de todos los archivos locales mediante AES‑256‑CBC. Esta transparencia sugiere, según Secure Annex, un experimento para evaluar la eficacia de la moderación en el catálogo de Microsoft más que una operación encubierta pulida.
Análisis técnico: activación temprana, claves embebidas y control remoto
El paquete incluye un extension.js con direcciones IP, claves criptográficas y endpoint de mando y control codificados en duro. Comentarios y patrones de código apuntan a que gran parte del contenido fue generado por IA, un “AI‑slop” que, pese a su crudeza, puede causar impacto con mínimos ajustes.
Cómo opera: empaquetado, exfiltración y cifrado en cadena
La extensión se activa ante cualquier evento (instalación o arranque de VS Code) y ejecuta zipUploadAndEncrypt: verifica un “marcador” local, agrega datos seleccionados a un ZIP, lo envía a un servidor predefinido y sustituye los originales por copias cifradas. El uso de AES‑256‑CBC —un estándar robusto de grado industrial— dificulta la recuperación sin las claves correspondientes.
Uso de PAT de GitHub y telemetría del operador
En paralelo, el complemento consulta un repositorio privado en GitHub mediante un Personal Access Token (PAT), buscando órdenes en index.html. La telemetría asociada al token sugiere que el propietario del repositorio podría ubicarse en Azerbaiyán, según el análisis publicado.
Relevancia estratégica: Marketplace como superficie de ataque
El caso ilustra la baja barrera de entrada para introducir código malicioso en ecosistemas de extensiones. Cambios menores —ofuscación del tráfico, generación dinámica de claves, focalización por objetivo— bastan para escalar a ransomware o stealer plenamente funcional. Investigaciones previas sobre cadenas de suministro en IDE y gestores de paquetes han advertido de riesgos sistémicos asociados a la confianza implícita en marketplaces y a validaciones de seguridad insuficientes.
Indicadores de compromiso y señales de alerta
Entre los IoC y comportamientos anómalos destacan: procesos de VS Code que inician archivado masivo de datos del usuario; conexiones salientes a hosts no documentados tras instalar la extensión; presencia y uso de PAT de GitHub en el perfil del desarrollador; y accesos periódicos a repositorios privados desde el entorno de la IDE.
Medidas de mitigación para equipos de desarrollo
Implantar listas de confianza para extensiones, revisar firmas y código, e inventariar periódicamente los complementos instalados en la IDE. Activar y hacer cumplir Workspace Trust para limitar la ejecución de tareas y scripts no verificados.
Habilitar egress control y observabilidad de la red de la IDE; monitorizar la creación de archivos ZIP y operaciones criptográficas; y definir reglas en EDR/SIEM para detectar procesos anómalos en el directorio de extensiones.
Reducir la exposición de PAT de GitHub con privilegios mínimos y caducidad corta, rotación periódica y almacenamiento de secretos en bóvedas dedicadas. Complementar con copias de seguridad de código y artefactos, segmentación de entornos, principio de menor privilegio y MFA en repositorios.
Secure Annex ha notificado el hallazgo a Microsoft, pero la extensión continúa disponible. Las organizaciones deberían bloquear “susvsex” de inmediato, auditar puestos de desarrollo y reforzar políticas internas de publicación y moderación de herramientas. Establecer un control estricto sobre la ecosistema de extensiones reduce de forma significativa el riesgo de compromiso y pérdida de propiedad intelectual.
