Los investigadores de ciberseguridad han detectado una extensión maliciosa de Visual Studio Code (VS Code) con capacidades básicas de ransomware que parece sobrevenir sido creada con la ayuda de inteligencia químico; en otras palabras, codificada por temblor.
El investigador de Secure Anexo, John Tuckner, quien señaló la extensión «susvsex», dijo que no intenta ocultar su funcionalidad maliciosa. La extensión fue cargada el 5 de noviembre de 2025 por un sucesor llamado «suspublisher18» yuxtapuesto con la descripción «Solo probando» y la dirección de correo electrónico «donotsupport@example(.)com».
«Comprime, carga y monograma automáticamente archivos desde C:UsersPublictesting (Windows) o /tmp/testing (macOS) en el primer inicio», se lee en la descripción de la extensión. A partir del 6 de noviembre, Microsoft intervino para eliminarlo del mercado oficial de extensiones de VS Code.
Según los detalles compartidos por «suspublisher18», la extensión está diseñada para activarse automáticamente en cualquier evento, incluida la instalación o el inicio de VS Code, e invocar una función emplazamiento «zipUploadAndEncrypt», que crea un archivo ZIP de un directorio de destino, lo extrae a un servidor remoto y reemplaza los archivos con sus versiones cifradas.
«Por fortuna, TARGET_DIRECTORY está configurado para ser un directorio de prueba, por lo que tendría poco impacto en este momento, pero se actualiza fácilmente con una interpretación de extensión o como un comando enviado a través del canal C2 que se tráfico a continuación», dijo Tuckner.
Encima del secreto, la extensión maliciosa asimismo utiliza GitHub como comando y control (C2) al sondear un repositorio privado de GitHub para detectar cualquier comando nuevo que se ejecute analizando el archivo «index.html». Los resultados de la ejecución del comando se vuelven a escribir en el mismo repositorio en el archivo «requirements.txt» utilizando un token de comunicación de GitHub integrado en el código.
La cuenta de GitHub asociada con el repositorio, aykhanmv, continúa activa y el desarrollador afirma ser de la ciudad de Bakú, Azerbaiyán.
«Los comentarios extraños que detallan la funcionalidad, los archivos README con instrucciones de ejecución y las variables de tanteador de posición son signos claros de malware ‘codificado por temblor'», dijo Tuckner. «El paquete de extensión incluía accidentalmente herramientas de descifrado, código de servidor de comando y control, claves de comunicación de GitHub al servidor C2, que otras personas podrían usar para hacerse cargo del C2».
Los paquetes npm troyanizados eliminan Vidar Infostealer
La divulgación se produce cuando Datadog Security Labs desenterró paquetes de 17 npm que se hacen acontecer por kits de ampliación de software (SDK) benignos y brindan la funcionalidad anunciada, pero están diseñados para ejecutar sigilosamente Vidar Stealer en sistemas infectados. Este ampliación marca la primera vez que el usurero de información se distribuye a través del registro npm.
La compañía de ciberseguridad, que está rastreando el clúster bajo el nombre MUT-4831, dijo que algunos de los paquetes se marcaron por primera vez el 21 de octubre de 2025, y las cargas posteriores se registraron el día futuro y el 26 de octubre. Los nombres de los paquetes, publicados por cuentas llamadas «aartje» y «saliii229911», se encuentran a continuación:
- ap-api
- bael-bueno-admin
- bael-dios-api
- bael-dios-gracias
- botty-tenedor-bebe
- cursor-ai-tenedor
- bifurcación-aplicación-cursor
- API-bot-de-telegram-personalizada
- plan-tg-bot-personalizado
- icono-reaccionar-tenedor
- paquete de iconos de reacción
- sabaoa-tg-api
- oprimido al mismo tiempo
- sai-tg-api
- permitir-tg-api
- telegram-bot-inicio
- iniciador-bot-telegram
Si aceptablemente las dos cuentas han sido prohibidas desde entonces, las bibliotecas se descargaron al menos 2240 veces antaño de ser eliminadas. Dicho esto, Datadog señaló que muchas de estas descargas probablemente podrían sobrevenir sido el resultado de raspadores automáticos.
La prisión de ataque en sí misma es conveniente sencilla y se activa como parte de un script posterior a la instalación especificado en el archivo «package.json» que descarga un archivo ZIP desde un servidor forastero («bullethost(.)dominio de montón») y ejecuta el ejecutable Vidar contenido en el archivo ZIP. Se ha descubierto que las muestras de Vidar 2.0 utilizan cuentas de Telegram y Steam codificadas como solucionadores de entrega muerta para recuperar el servidor C2 actual.
En algunas variantes, se utiliza un script de PowerShell posterior a la instalación, incrustado directamente en el archivo package.json, para descargar el archivo ZIP, posteriormente de lo cual el control de ejecución se pasa a un archivo JavaScript para completar el resto de los pasos del ataque.
‘
«No está claro por qué MUT-4831 eligió variar el script de postinstalación de esta forma», dijeron los investigadores de seguridad Tesnim Hamdouni, Ian Kretz y Sebastian Obregoso. «Una posible explicación es que diversificar las implementaciones puede ser lugoso para el actor de amenazas en términos de supervivencia a la detección».
El descubrimiento es solo otro de una larga serie de ataques a la prisión de suministro dirigidos al ecosistema de código despejado que albarca npm, PyPI, RubyGems y Open VSX, lo que hace crucial que los desarrolladores realicen la debida diligencia, revisen los registros de cambios y estén atentos a técnicas como errores tipográficos y confusión de dependencias antaño de instalar paquetes.
