Los investigadores de ciberseguridad han detectado una extensión maliciosa de Visual Studio Code (VS Code) con una funcionalidad básica de ransomware que parece haber sido creada con la ayuda de inteligencia artificial o codificada por vibración.
El investigador de Secure Anexo, John Tuckner, quien marcó la extensión susvsex, dijo que la extensión no intentaba ocultar ninguna funcionalidad maliciosa. Esta extensión fue cargada por un usuario llamado ‘suspublisher18’ el 5 de noviembre de 2025, con la descripción ‘Solo probando’ y la dirección de correo electrónico ‘donotsupport@example(.)com’.
La descripción de la extensión dice: «Comprime, carga y cifra automáticamente archivos desde C:\Users\Public\testing (Windows) o /tmp/testing (macOS) en el primer inicio». A partir del 6 de noviembre, Microsoft intervino para eliminarlo del mercado oficial de extensiones de VS Code.
Según los detalles compartidos por suspublisher18, la extensión está diseñada para iniciarse automáticamente en cualquier evento, incluso cuando se instala o inicia VS Code, y llama a una función llamada zipUploadAndEncrypt. Esta función crea un archivo ZIP del directorio de destino, lo extrae a un servidor remoto y reemplaza los archivos con versiones cifradas.
«Afortunadamente, TARGET_DIRECTORY está configurado como un directorio de prueba, por lo que tiene poco impacto por ahora, pero se puede actualizar fácilmente con versiones de extensión o mediante comandos enviados a través del canal C2, que discutiremos a continuación», dijo Tuckner.
Además del cifrado, la extensión maliciosa también utiliza GitHub para comando y control (C2) sondeando repositorios privados de GitHub en busca de nuevos comandos, que se ejecutan analizando el archivo «index.html». Los resultados de la ejecución del comando se vuelven a escribir en el archivo «requirements.txt» en el mismo repositorio utilizando un token de acceso de GitHub integrado en el código.
La cuenta de GitHub (aykhanmv) asociada con el repositorio permanece activa y el desarrollador afirma ser de la ciudad de Bakú, Azerbaiyán.
«Los comentarios irrelevantes que detallan la funcionalidad, los archivos README con instrucciones de ejecución y las variables de marcador de posición son signos reveladores de malware ‘codificado en atmósfera'», dijo Tuckner. «El paquete de extensión incluía inadvertidamente una herramienta de descifrado, un código de servidor de comando y control y una clave de acceso GitHub al servidor C2, que otros podrían usar para hacerse cargo del C2».
El paquete npm troyanizado elimina Vidar Infostealer
Esta divulgación se produce después de que Datadog Security Labs descubriera un paquete de 17 npm que se hacía pasar por un kit de desarrollo de software (SDK) benigno y proporcionaba una funcionalidad anunciada, pero que estaba diseñado para ejecutar de forma encubierta Vidar Stealer en sistemas infectados. Este desarrollo marca la primera vez que un ladrón de información se distribuye a través del registro npm.
Algunos paquetes se marcaron por primera vez el 21 de octubre de 2025, y las cargas posteriores se registraron el día siguiente y el 26 de octubre, según una empresa de ciberseguridad que rastrea el clúster con el nombre MUT-4831. Los nombres de los paquetes publicados por las cuentas denominadas «aartje» y «saliii229911» son los siguientes.
abeya-tg-api bael-god-admin bael-god-api bael-god- gracias botty-fork-baby cursor-ai-fork cursor-app-fork personalizado telegram-bot-api personalizado-tg-bot-plan icono-react-fork reaccionar-icono-pkg sabaoa-tg-api sabay-tg-api sai-tg-api salli-tg-api inicio-bot-telegrama inicio-bot-telegrama
Posteriormente, ambas cuentas fueron prohibidas, pero la biblioteca se descargó al menos 2240 veces antes de ser eliminada. Dicho esto, Datadog señaló que muchas de estas descargas pueden ser el resultado de raspadores automáticos.
La cadena de ataque en sí es muy simple: comienza como parte de un script posterior a la instalación especificado en el archivo ‘package.json’, descarga un archivo ZIP desde un servidor externo (‘bullethost(.) dominio de nube’) y ejecuta el ejecutable Vidar contenido en el archivo ZIP. Se descubrió que la muestra de Vidar 2.0 utiliza cuentas codificadas de Telegram y Steam como solucionadores de entrega muerta para recuperar el servidor C2 real.
Algunas variantes utilizan un script de PowerShell posterior a la instalación integrado directamente en el archivo package.json para descargar el archivo ZIP, que luego pasa el control de ejecución a un archivo JavaScript para completar los pasos restantes del ataque.
‘
«No está claro por qué MUT-4831 decidió modificar su script posterior a la instalación de esta manera», dijeron los investigadores de seguridad Tesnim Hamdouni, Ian Kretz y Sebastian Obregoso. «Una posible explicación es que la diversificación de las implementaciones puede dar una ventaja a los atacantes en términos de supervivencia a la detección».
Este descubrimiento es solo uno de una larga lista de ataques a la cadena de suministro dirigidos al ecosistema de código abierto a través de npm, PyPI, RubyGems y Open VSX, por lo que es importante que los desarrolladores realicen la debida diligencia antes de instalar paquetes, revisen los registros de cambios y estén atentos a técnicas como la typosquatting y la confusión de dependencias.
Source link
