Los investigadores de ciberseguridad han detectado una extensión maliciosa de Visual Studio Code (VS Code) con capacidades básicas de ransomware que parece deber sido creada con la ayuda de inteligencia industrial; en otras palabras, codificada por traqueteo.
El investigador de Secure Anexo, John Tuckner, quien señaló la extensión “susvsex”, dijo que no intenta ocultar su funcionalidad maliciosa. La extensión fue cargada el 5 de noviembre de 2025 por un afortunado llamado “suspublisher18” contiguo con la descripción “Solo probando” y la dirección de correo electrónico “donotsupport@example(.)com”.
“Comprime, carga y monograma automáticamente archivos desde C:UsersPublictesting (Windows) o /tmp/testing (macOS) en el primer inicio”, se lee en la descripción de la extensión. A partir del 6 de noviembre, Microsoft intervino para eliminarlo del mercado oficial de extensiones de VS Code.
Según los detalles compartidos por “suspublisher18”, la extensión está diseñada para activarse automáticamente en cualquier evento, incluida la instalación o el inicio de VS Code, e invocar una función indicación “zipUploadAndEncrypt”, que crea un archivo ZIP de un directorio de destino, lo extrae a un servidor remoto y reemplaza los archivos con sus versiones cifradas.
“Gracias a Dios, TARGET_DIRECTORY está configurado para ser un directorio de prueba, por lo que tendría poco impacto en este momento, pero se actualiza fácilmente con una lectura de extensión o como un comando enviado a través del canal C2 que se alcahuetería a continuación”, dijo Tuckner.
Encima del secreto, la extensión maliciosa incluso utiliza GitHub como comando y control (C2) al sondear un repositorio privado de GitHub para detectar cualquier comando nuevo que se ejecute analizando el archivo “index.html”. Los resultados de la ejecución del comando se vuelven a escribir en el mismo repositorio en el archivo “requirements.txt” utilizando un token de golpe de GitHub integrado en el código.
La cuenta de GitHub asociada con el repositorio, aykhanmv, continúa activa y el desarrollador afirma ser de la ciudad de Bakú, Azerbaiyán.
“Los comentarios extraños que detallan la funcionalidad, los archivos README con instrucciones de ejecución y las variables de señalador de posición son signos claros de malware ‘codificado por traqueteo'”, dijo Tuckner. “El paquete de extensión incluía accidentalmente herramientas de descifrado, código de servidor de comando y control, claves de golpe de GitHub al servidor C2, que otras personas podrían usar para hacerse cargo del C2”.
Los paquetes npm troyanizados eliminan Vidar Infostealer
La divulgación se produce cuando Datadog Security Labs desenterró paquetes de 17 npm que se hacen tener lugar por kits de explicación de software (SDK) benignos y brindan la funcionalidad anunciada, pero están diseñados para ejecutar sigilosamente Vidar Stealer en sistemas infectados. Este explicación marca la primera vez que el descuidero de información se distribuye a través del registro npm.
La compañía de ciberseguridad, que está rastreando el clúster bajo el nombre MUT-4831, dijo que algunos de los paquetes se marcaron por primera vez el 21 de octubre de 2025, y las cargas posteriores se registraron el día sucesivo y el 26 de octubre. Los nombres de los paquetes, publicados por cuentas llamadas “aartje” y “saliii229911”, se encuentran a continuación:
- ap-api
- bael-bueno-admin
- bael-dios-api
- bael-dios-gracias
- botty-tenedor-bebe
- cursor-ai-tenedor
- bifurcación-aplicación-cursor
- API-bot-de-telegram-personalizada
- plan-tg-bot-personalizado
- icono-reaccionar-tenedor
- paquete de iconos de reacción
- sabaoa-tg-api
- oprimido al mismo tiempo
- sai-tg-api
- permitir-tg-api
- telegram-bot-inicio
- iniciador-bot-telegram
Si acertadamente las dos cuentas han sido prohibidas desde entonces, las bibliotecas se descargaron al menos 2240 veces antaño de ser eliminadas. Dicho esto, Datadog señaló que muchas de estas descargas probablemente podrían deber sido el resultado de raspadores automáticos.
La dependencia de ataque en sí misma es proporcionado sencilla y se activa como parte de un script posterior a la instalación especificado en el archivo “package.json” que descarga un archivo ZIP desde un servidor forastero (“bullethost(.)dominio de abundancia”) y ejecuta el ejecutable Vidar contenido en el archivo ZIP. Se ha descubierto que las muestras de Vidar 2.0 utilizan cuentas de Telegram y Steam codificadas como solucionadores de entrega muerta para recuperar el servidor C2 auténtico.
En algunas variantes, se utiliza un script de PowerShell posterior a la instalación, incrustado directamente en el archivo package.json, para descargar el archivo ZIP, luego de lo cual el control de ejecución se pasa a un archivo JavaScript para completar el resto de los pasos del ataque.
‘
“No está claro por qué MUT-4831 eligió variar el script de postinstalación de esta modo”, dijeron los investigadores de seguridad Tesnim Hamdouni, Ian Kretz y Sebastian Obregoso. “Una posible explicación es que diversificar las implementaciones puede ser favorable para el actor de amenazas en términos de supervivencia a la detección”.
El descubrimiento es solo otro de una larga directorio de ataques a la dependencia de suministro dirigidos al ecosistema de código extenso que albarca npm, PyPI, RubyGems y Open VSX, lo que hace crucial que los desarrolladores realicen la debida diligencia, revisen los registros de cambios y estén atentos a técnicas como errores tipográficos y confusión de dependencias antaño de instalar paquetes.
