Исследователи Secure Annex сообщили о выявлении в Visual Studio Code Marketplace расширения, маскирующегося под обычный инструмент для разработчиков, но обладающего базовыми возможностями шифровальщика. Пакет под названием susvsex, опубликованный автором с ником suspublisher18, совмещает эксфильтрацию данных и шифрование файлов на машине жертвы, что делает его потенциальным инструментом для атак на цепочку поставок разработческих сред.
Что именно обнаружили специалисты Secure Annex
По данным аналитиков, в описании и README расширения прямо заявлены две ключевые функции: выгрузка файлов на удалённый сервер и шифрование всех локальных файлов с использованием алгоритма AES‑256‑CBC. Такой уровень откровенности нетипичен для злоумышленников и, по оценке исследователей, указывает на экспериментальный характер публикации и попытку проверить эффективность модерации каталога Microsoft.
Технический разбор: как действует расширение
В составе пакета присутствует файл extension.js с жёстко заданными значениями — IP‑адресом, криптографическими ключами и адресом управляющего сервера. Комментарии в исходниках и структура кода указывают, что значительная часть логики, вероятно, была сгенерирована ИИ, а не написана вручную. Исследователи охарактеризовали образец как «ИИ‑слоп» — сырой код, способный, однако, причинить ощутимый ущерб при минимальной доработке.
Механика активации и эксфильтрации
Расширение активируется при любом событии — во время установки или при запуске VS Code — и вызывает функцию zipUploadAndEncrypt. Та проверяет наличие специального «маркера», собирает выбранные данные в ZIP‑архив, отправляет его на заранее заданный удалённый сервер, после чего заменяет исходные файлы их зашифрованными версиями. Шифрование реализовано с помощью AES‑256‑CBC, что усложняет восстановление данных без ключей.
Удалённое управление через приватный GitHub
Параллельно расширение опрашивает приватный репозиторий на GitHub, используя PAT‑токен (Personal Access Token), и обращается к файлу index.html в поисках команд для выполнения. По данным исследователей, полученная через токен телеметрия указывает, что владелец репозитория, вероятно, находится в Азербайджане.
Почему это важно: риски модерации и эскалации угроз
Несмотря на экспериментальный вид, подобные пакеты демонстрируют, как легко злоумышленники могут использовать экосистемы расширений для атаки на разработчиков. Даже небольшие изменения — маскировка сетевой активности, динамическая генерация ключей, привязка к конкретным целям — способны превратить этот образец в полноценную угрозу уровня ransomware или stealer. Ранее эксперты неоднократно указывали на уязвимость «маркетплейсов» расширений к атакам через слабую модерацию и доверие пользователей к популярным платформам.
Индикаторы и профиль поведения
Косвенными индикаторами компрометации в данном случае выступают: инициация архивирования пользовательских данных процессом VS Code, исходящие соединения к неизвестным узлам после установки расширения, наличие в профиле разработчика сторонних токенов доступа к GitHub и обращение к приватным ресурсам через PAT.
Рекомендации для разработчиков и организаций
Ограничьте установку расширений списками доверенных поставщиков, проводите предварительную проверку кода и подписей, а также регулярно ревизируйте инвентарь расширений в IDE. Включите и соблюдайте Workspace Trust в VS Code, ограничивайте выполнение непроверенного кода и запуск задач из подозрительных рабочих пространств.
Рекомендуется внедрить eгресс‑контроль и мониторинг сетевой активности IDE, отслеживание создания ZIP‑архивов и шифровальных операций, а также правила EDR/SIEM для выявления аномалий запуска скриптов из каталога расширений. Периодически пересматривайте использование PAT‑токенов, минимизируйте их права и срок действия, храните секреты в специализированных хранилищах, а не в настройках редактора.
Для снижения ущерба обеспечьте резервное копирование критичных исходных кодов и артефактов сборки, сегментацию сред разработки, принцип наименьших привилегий и многофакторную аутентификацию к репозиториям. Обучайте команды распознаванию признаков вредоносных расширений и проверке метаданных пакетов (автор, количество установок, отзывы, репозиторий исходников).
По информации Secure Annex, о найденной угрозе уведомлена Microsoft, однако расширение остаётся доступным для загрузки. Организациям целесообразно оперативно заблокировать установку susvsex, провести инвентаризацию рабочих мест разработчиков и усилить политики модерации собственных инструментальных цепочек. Чем раньше вы выстроите контроль над экосистемой расширений, тем ниже риск компрометации кода и утраты данных.
