У каталозі Visual Studio Code Marketplace виявлено розширення, яке маскується під інструмент для розробників, але має базові можливості шифрувальника та викрадення даних. Пакет під назвою susvsex, опублікований автором suspublisher18, поєднує екфільтрацію файлів і шифрування локальних даних, що створює ризики для ланцюга постачання інструментів розробки.
Що саме виявили дослідники Secure Annex
За повідомленням аналітиків, у публічному описі та README розширення прямо декларуються дві ключові функції: відвантаження файлів на віддалений сервер та повне шифрування локального диску алгоритмом AES‑256‑CBC. Така відвертість нетипова для зловмисних публікацій і, ймовірно, свідчить про експериментальний характер пакета та перевірку ефективності модерації в каталозі Microsoft.
Технічний аналіз: як працює шкідливе розширення VS Code
Жорстко задані параметри та ознаки ІІ‑генерації коду
У складі пакета знайдено extension.js із хардкодженими значеннями: IP‑адресою, криптографічними ключами та адресою керуючого сервера. Коментарі та структура коду вказують на імовірну генерацію значних фрагментів за допомогою ШІ. Дослідники охарактеризували зразок як «AI‑slop» — сирий, але потенційно небезпечний код, що потребує мінімальної доробки для реальної шкоди.
Активація, ексфільтрація та шифрування файлів
Розширення активується на будь-яку подію — під час інсталяції або запуску VS Code — і викликає функцію zipUploadAndEncrypt. Модуль перевіряє наявність маркера, архівує вибрані дані у ZIP, відправляє архів на заздалегідь визначений сервер керування, після чого замінює оригінали зашифрованими копіями. Застосування AES‑256‑CBC ускладнює відновлення даних без ключів.
Віддалене керування через приватний GitHub‑репозиторій
Паралельно модуль опитує приватний репозиторій на GitHub за допомогою PAT‑токена (Personal Access Token) і зчитує інструкції з файлу index.html. За телеметрією, отриманою через токен, дослідники припускають, що власник репозиторію може знаходитися в Азербайджані.
Чому це важливо: ризики supply chain і слабкі місця модерації
Навіть якщо зразок має «експериментальний» вигляд, він демонструє, наскільки легко використати екосистеми розширень для атак на середовища розробки. Невеликі модифікації — приховування трафіку, динамічна генерація ключів, прив’язка до конкретних цілей — здатні перетворити його на повноцінний ransomware або stealer. Подібні випадки підкреслюють обмеження модерації маркетплейсів і високий рівень довіри користувачів до популярних платформ.
Ознаки компрометації та поведінкові індикатори
Можливі IOC/IOB у цьому сценарії включають: ініціацію процесом VS Code масового ZIP‑архівування користувацьких даних; вихідні з’єднання на невідомі вузли одразу після встановлення розширення; наявність у профілі середовища сторонніх GitHub PAT‑токенів; звернення до приватних ресурсів GitHub з робочих місць розробників; появу зашифрованих дублікатів файлів у робочих каталогах IDE.
Рекомендації для розробників і організацій
Обмежте встановлення розширень переліком довірених постачальників, запровадьте попередній аудит коду, перевірку підписів і регулярну ревізію інвентарю плагінів. Використовуйте та дотримуйтеся Workspace Trust у VS Code, блокуйте виконання неперевіреного коду та запуск задач з недовірених робочих просторів.
Реалізуйте egress‑контроль і моніторинг мережевої активності IDE; відстежуйте створення ZIP‑архівів і масові операції шифрування; додайте правила EDR/SIEM для виявлення аномального запуску скриптів з каталогу розширень. Регулярно переглядайте використання PAT‑токенів, мінімізуйте їхні права й термін дії, зберігайте секрети у спеціалізованих сховищах, а не в налаштуваннях редактора.
Для зменшення впливу інцидентів забезпечте резервне копіювання критичного коду та артефактів збірки, сегментуйте середовища розробки, застосовуйте принцип найменших привілеїв і MFA до репозиторіїв. Навчайте команди розпізнавати ознаки шкідливих розширень і перевіряти метадані пакетів (автор, кількість інсталяцій, відгуки, посилання на вихідні коди).
Secure Annex повідомили про знахідку Microsoft, але пакет досі доступний для завантаження. Командам варто оперативно заблокувати встановлення susvsex, провести інвентаризацію робочих станцій розробників і посилити політики модерації власних інструментальних ланцюгів. Чим раніше ви візьмете під контроль екосистему розширень, тим нижчими будуть ризики компрометації коду та втрати даних.
