Netcrook Logo
👤 CIPHERWARDEN
🗓️ 08 Nov 2025   🗂️ Threats    

VS Code sotto assedio: ransomware nascosto nei pacchetti di estensioni generate dall’IA

Un’estensione canaglia per Visual Studio Code, creata con l’IA e contenente ransomware, mette in luce la crescente minaccia degli attacchi “vibe-coded” e alla supply chain contro gli strumenti per sviluppatori.

In breve

  • È stata scoperta una pericolosa estensione per VS Code chiamata “susvsex” con funzionalità ransomware integrate.
  • L’estensione zippava, esfiltrava e cifrava automaticamente i file dalle directory di test sia su sistemi Windows che macOS.
  • Utilizzava GitHub come centro di comando e controllo, incorporando token di accesso e codice server all’interno del pacchetto.
  • L’attacco fa parte di una tendenza più ampia: anche 17 pacchetti npm sono stati recentemente scoperti a distribuire il malware Vidar Infostealer.
  • Microsoft e npm hanno rimosso le estensioni e i pacchetti incriminati, ma migliaia di download erano già avvenuti prima della rimozione.

Quando gli strumenti degli sviluppatori si rivoltano contro i loro creatori

Immagina di scaricare un nuovo strumento per il tuo software preferito, solo per scoprire che è un cavallo di Troia - uno che silenziosamente blocca i tuoi file e invia segnali di comando a distanza. È questa la realtà inquietante che stanno affrontando gli sviluppatori dopo la scoperta di “susvsex”, un’estensione per Visual Studio Code (VS Code) che non era solo difettosa o sperimentale, ma apertamente malevola. La sua particolarità? Era “vibe-coded” - probabilmente creata con l’aiuto dell’intelligenza artificiale, disseminata di commenti di codice informali e con le proprie chiavi di decrittazione lasciate in chiaro.

Caricata sull’Extension Marketplace ufficiale di VS Code da un account sfacciatamente chiamato “suspublisher18”, l’estensione non ha nemmeno tentato di nascondere il suo scopo. Al primo avvio, zippava i file da una directory di test, li caricava su un server remoto e sostituiva gli originali con versioni cifrate - ransomware classico, ma con un’interfaccia amichevole per sviluppatori. L’estensione inoltre interrogava un repository GitHub privato in cerca di nuovi comandi, utilizzando un token di accesso integrato, trasformando una nota piattaforma di collaborazione in un centro nevralgico per il cybercrimine.

Attacchi alla supply chain: un’epidemia in crescita

Non si tratta di un caso isolato. Proprio mentre “susvsex” faceva notizia, i ricercatori di sicurezza di Datadog hanno scoperto 17 pacchetti npm che si spacciavano per strumenti legittimi per sviluppatori. Questi pacchetti, alcuni con centinaia di download, distribuivano di nascosto Vidar Infostealer - un malware noto per il furto di credenziali e dati sensibili. Gli attaccanti variavano abilmente i metodi, nascondendo talvolta script malevoli nei file di installazione, altre volte celandoli in comandi PowerShell, tutto per sfuggire ai controlli. È la prima volta che Vidar viene individuato nell’ecosistema npm, segno che gli attaccanti stanno diventando più audaci e innovativi.

Attacchi alla supply chain come questi sfruttano la fiducia che gli sviluppatori ripongono in strumenti e repository popolari. La storia offre tristi promemoria: la violazione di SolarWinds nel 2020 e il più recente attacco a PyPI (l’indice dei pacchetti Python) hanno dimostrato come un singolo aggiornamento o estensione compromessa possa propagarsi a migliaia di organizzazioni in tutto il mondo.

Geopolitica e il Far West dell’open source

Curiosamente, alcuni indizi suggeriscono la natura globale della minaccia. L’account GitHub dietro l’estensione per VS Code dichiarava legami con Baku, Azerbaigian, anche se l’attribuzione resta incerta. Nel mondo del cybercrimine, i confini si confondono e le motivazioni spaziano dal guadagno economico allo spionaggio. La facilità con cui chiunque può pubblicare su marketplace open source - spesso con controlli minimi - rende queste piattaforme un terreno di caccia fertile sia per criminali informatici che per attori statali.

Sebbene Microsoft e npm siano intervenuti rapidamente per rimuovere i caricamenti malevoli, l’incidente mette in luce una dura verità: gli ecosistemi open source, per quanto innovativi, sono sicuri solo quanto il loro contributore più debole. Agli sviluppatori si raccomanda di verificare attentamente ciò che installano, controllare i changelog e restare vigili per segnali di manomissione, come nomi di pacchetti sospetti o aggiornamenti inspiegabili.

Man mano che la battaglia per la fiducia degli sviluppatori si intensifica, il confine tra comodità e compromesso si fa pericolosamente sottile. In un mondo in cui anche una semplice estensione può tenere in ostaggio i tuoi file, la vigilanza non è più opzionale - è questione di sopravvivenza.

WIKICROOK

  • Ransomware: Il ransomware è un software malevolo che cripta o blocca i dati, chiedendo un riscatto alle vittime per ripristinare l’accesso ai file o ai sistemi.
  • Comando: Un comando è un’istruzione inviata a un dispositivo o software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
  • Supply Chain Attack: Un attacco alla supply chain è un attacco informatico che compromette fornitori di software o hardware affidabili, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
  • Vibe: Vibe è una tecnica di hacking che usa l’IA per analizzare e manipolare le emozioni delle vittime, rendendo truffe e ricatti più efficaci.
  • Typosquatting: Il typosquatting consiste nell’usare nomi simili a quelli di siti o software affidabili per indurre gli utenti a visitare siti falsi o scaricare malware.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news