Un'estensione malevola con capacità ransomware è stata recentemente pubblicata sul marketplace ufficiale di Visual Studio Code, sollevando seri interrogativi sulla qualità dei processi di verifica di Microsoft. La vicenda assume contorni ancora più preoccupanti considerando che il codice dannoso sembra essere stato generato con l'ausilio di intelligenza artificiale e che la descrizione dell'estensione dichiarava apertamente le sue funzionalità di cifratura e furto dati. Il caso evidenzia come la proliferazione di strumenti AI per la generazione di codice stia abbassando drasticamente la barriera d'ingresso per la creazione di malware, anche da parte di attori con competenze tecniche limitate.
L'estensione, identificata con il nome susvsex e pubblicata dall'utente 'suspublisher18', rappresenta quello che il ricercatore di sicurezza John Tuckner di Secure Annex definisce un prodotto di "vibe coding" – un termine che indica codice generato prevalentemente tramite prompt AI, senza una comprensione approfondita della logica sottostante. L'analisi del codice rivela infatti numerosi commenti che tradiscono l'origine artificiale del software, con pattern tipici degli output dei large language model applicati alla programmazione.
Dal punto di vista tecnico, il ransomware si attiva su qualsiasi evento di VS Code, inclusa l'installazione o il semplice avvio dell'IDE. Il file extension.js contiene le variabili hardcoded necessarie al funzionamento: indirizzo IP del server command-and-control, chiavi di cifratura e parametri di connessione. La funzione principale, denominata zipUploadAndEncrypt, verifica la presenza di un file marcatore prima di avviare la routine di attacco che prevede la creazione di un archivio ZIP dei file nella directory target e la loro exfiltrazione verso il server C2.
😑 I tried. No response from 'Report abuse' on the marketplace listing yet. Extension is still available. https://t.co/B6ISUHdpAn pic.twitter.com/sPNGOnJ25w
— tuckner (@tuckner) November 6, 2025
La cifratura implementata utilizza AES-256-CBC, uno standard robusto che sostituisce i file originali con le versioni cifrate dopo l'esfiltrazione. Il meccanismo di comando e controllo è particolarmente interessante: l'estensione interroga periodicamente un repository GitHub privato, verificando un file index.html che utilizza un Personal Access Token per l'autenticazione ed eseguendo eventuali comandi ivi contenuti. Sfruttando proprio questo PAT hardcoded nel codice, Tuckner è riuscito ad accedere alle informazioni sull'host e a determinare che il proprietario del repository risulta probabilmente localizzato in Azerbaigian.
L'aspetto più allarmante della vicenda riguarda la risposta di Microsoft. Nonostante Tuckner avesse segnalato l'estensione e la sua descrizione esplicita, la società di Redmond ha inizialmente ignorato la segnalazione, lasciando susvsex disponibile per il download sul marketplace ufficiale. Una scelta che fa sorgere parecchie domande sui processi di verifica e moderazione della piattaforma, considerando che il VS Code Marketplace è utilizzato da milioni di sviluppatori in tutto il mondo e che le estensioni hanno accesso privilegiato all'ambiente di sviluppo e ai file system.
Sebbene susvsex sia tecnicamente grezzo e le sue intenzioni malevole palesi, poche modifiche al codice potrebbero trasformarla in una minaccia sofisticata e difficile da rilevare. Potrebbe trattarsi di un esperimento deliberato per testare l'efficacia dei controlli di Microsoft, oppure di un proof-of-concept rilasciato pubblicamente per dimostrare le vulnerabilità del processo di pubblicazione delle estensioni.
Se tradizionalmente la scrittura di ransomware richiedeva competenze specifiche in crittografia, networking e programmazione, oggi con l'IA chiunque può descrivere in linguaggio naturale le funzionalità desiderate e ottenere codice funzionante. Questo abbassamento della barriera tecnica rappresenta una sfida significativa per la sicurezza dell'ecosistema software, particolarmente per piattaforme open come VS Code che si basano su contributi comunitari.
Microsoft non ha ancora rilasciato dichiarazioni ufficiali sulla vicenda né fornito dettagli sulle modifiche che intende apportare ai propri processi di verifica, ma poche ore fa ha eliminato l'estensione dal Marketplace.