Pesquisadores de cibersegurança identificaram uma extensão maliciosa para o Visual Studio Code (VS Code) chamada ‘susvsex’, que possui capacidades básicas de ransomware. Criada com auxílio de inteligência artificial, a extensão foi carregada em 5 de novembro de 2025, e não esconde suas funcionalidades maliciosas. Ao ser ativada, ela compacta, faz upload e criptografa arquivos de diretórios específicos do sistema operacional, como C:\Users\Public\testing no Windows e /tmp/testing no macOS. A Microsoft removeu a extensão do Marketplace do VS Code no dia seguinte à sua descoberta. Além da criptografia, a extensão utiliza um repositório privado no GitHub como canal de comando e controle (C2), onde busca novas instruções. O desenvolvedor, que se apresenta como residente de Baku, Azerbaijão, deixou evidências que podem facilitar a exploração por outros atacantes. Em um incidente separado, 17 pacotes npm foram encontrados disfarçados como kits de desenvolvimento, mas que executam o infostealer Vidar em sistemas infectados. Esses pacotes foram baixados mais de 2.240 vezes antes de serem removidos, destacando a necessidade de vigilância constante na cadeia de suprimentos de software.
Fonte: https://thehackernews.com/2025/11/vibe-coded-malicious-vs-code-extension.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
07/11/2025 • Risco: ALTO
MALWARE
Extensão maliciosa do VS Code com ransomware é detectada
RESUMO EXECUTIVO
O incidente com a extensão maliciosa do VS Code e os pacotes npm que executam o infostealer Vidar destacam a vulnerabilidade da cadeia de suprimentos de software. A utilização de ferramentas populares no Brasil torna a situação crítica, exigindo atenção imediata dos CISOs para proteger dados e sistemas.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais custos associados à recuperação de dados e mitigação de danos.
Operacional
Possível perda de dados e comprometimento de sistemas.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']
📊 INDICADORES CHAVE
Extensão maliciosa 'susvsex' removida do Marketplace do VS Code.
Indicador
17 pacotes npm maliciosos identificados.
Contexto BR
Pacotes npm baixados mais de 2.240 vezes.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se a extensão 'susvsex' ou pacotes npm maliciosos foram instalados.
2
Remover extensões não verificadas e monitorar atividades suspeitas em repositórios GitHub.
3
Monitorar continuamente o uso de extensões do VS Code e pacotes npm, além de implementar políticas de segurança para a cadeia de suprimentos.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança da cadeia de suprimentos de software, especialmente com ferramentas amplamente utilizadas como o VS Code, que podem ser vetores de ataque.
⚖️ COMPLIANCE
Implicações na conformidade com a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
