Pesquisadores de cibersegurança identificaram uma extensão para o Visual Studio Code e um conjunto de pacotes npm que, discretamente, executam funções de ransomware e distribuição de malware em estações de desenvolvimento.
Extensão “susvsex” no VS Code
A equipe da Secure Annex, liderada pelo pesquisador John Tuckner, descobriu a extensão “susvsex”, enviada ao marketplace oficial do VS Code em 5 de novembro de 2025 pelo usuário “suspublisher18”. A descrição “Just testing” e o e-mail donotsupport@example[.]com acompanhavam o upload.
Sem tentar ocultar o comportamento malicioso, a extensão declara que compacta, exfiltra e criptografa automaticamente arquivos localizados em C:UsersPublictesting (Windows) ou /tmp/testing (macOS) logo no primeiro uso. Essa rotina é executada pela função “zipUploadAndEncrypt”, acionada em qualquer evento, inclusive na instalação ou abertura do VS Code.
Além de criptografar os dados e substituí-los por versões cifradas, o código envia o arquivo ZIP para um servidor remoto e utiliza um repositório privado no GitHub como command-and-control (C2). O script analisa o arquivo index.html em busca de novos comandos e grava os resultados em requirements.txt usando um token de acesso embutido.
O repositório está associado ao perfil “aykhanmv”, que se apresenta como desenvolvedor de Baku, Azerbaijão. O pacote incluía por engano chaves de acesso, ferramentas de descriptografia e código do servidor de C2, facilitando a tomada de controle por terceiros.
A Microsoft removeu a extensão do marketplace em 6 de novembro.
Pacotes npm entregam Vidar Stealer
No mesmo período, o Datadog Security Labs relatou o achado de 17 pacotes npm maliciosos, pertencentes ao cluster batizado de MUT-4831. Apesar de se apresentarem como SDKs legítimos, os pacotes baixam e executam o Vidar Stealer, marcando a primeira vez que essa ameaça chega ao repositório npm.
Imagem: Internet
Os pacotes, enviados pelos perfis “aartje” e “saliii229911” entre 21 e 26 de outubro de 2025, somaram pelo menos 2.240 downloads antes da remoção. Entre os nomes publicados estão:
abeya-tg-api, bael-god-admin, bael-god-api, bael-god-thanks, botty-fork-baby, cursor-ai-fork, cursor-app-fork, custom-telegram-bot-api, custom-tg-bot-plan, icon-react-fork, react-icon-pkg, sabaoa-tg-api, sabay-tg-api, sai-tg-api, salli-tg-api, telegram-bot-start e telegram-bot-starter.
O ataque é iniciado por um script postinstall no package.json, que baixa um arquivo ZIP do domínio bullethost[.]cloud e executa o binário do Vidar 2.0. Em algumas variantes, um script PowerShell embutido faz o download antes de delegar a etapa seguinte a um arquivo JavaScript. Segundo os pesquisadores Tesnim Hamdouni, Ian Kretz e Sebastian Obregoso, a variação no método de instalação pode ser uma tentativa de driblar sistemas de detecção.
Os incidentes reforçam os riscos de cadeia de suprimentos em ecossistemas abertos como npm, PyPI, RubyGems e Open VSX, exigindo verificação cuidadosa de changelogs, nomes de pacotes e dependências antes da instalação.
Com informações de The Hacker News
