Como si nada: un hacker despreocupado escribió un ransomware y dejó los tokens expuestos en el código
Un joven de Bakú empaquetó malware junto con instrucciones para descifrarlo.
En el ecosistema de Visual Studio Code se ha detectado una extensión maliciosa con características de ransomware, en cuya elaboración, según se presume, se utilizó una red neuronal generativa. La herramienta recibió el nombre «susvsex» y fue cargada el 5 de noviembre de 2025 por un usuario con el seudónimo «suspublisher18». Acompañó su extensión con un breve comentario «Solo probando» y señaló un correo electrónico con una advertencia explícita — donotsupport@example[.]com. Ya el 6 de noviembre Microsoft la excluyó del catálogo oficial de extensiones.
La característica clave de la extensión es el inicio automático de una función llamada «zipUploadAndEncrypt» inmediatamente después de la instalación o al abrir VS Code. Esta función archiva el contenido de directorios de prueba — C:\Users\Public\testing en Windows o /tmp/testing en macOS — y envía los archivos comprimidos a un servidor externo, reemplazándolos por versiones cifradas. Aunque inicialmente el directorio objetivo está configurado como temporal, puede sustituirse fácilmente publicando una nueva versión de la extensión o enviando un comando a través del canal de control.
Una amenaza adicional la representa el mecanismo de control remoto implementado a través de GitHub. La extensión consulta con regularidad un repositorio privado en busca de nuevas instrucciones, leyéndolas desde el archivo index.html, y carga los resultados de la ejecución en el archivo requirements.txt, utilizando un token de acceso integrado en el código. Este esquema permite a los operadores modificar dinámicamente el comportamiento del software malicioso y supervisar su actividad.
El autor del repositorio en GitHub figura como el usuario con el alias aykhanmv, que en su perfil indicó que se encuentra en Bakú, Azerbaiyán. Su cuenta permanecía activa al momento de la publicación del informe por parte de los especialistas de Secure Annex.
Los investigadores detectaron señales características de generación automática de código — entre ellas descripciones simplificadas de funciones, variables de plantilla y la presencia en el paquete no solo de la carga útil principal, sino también de herramientas auxiliares. En concreto, dentro de la extensión se hallaron archivos para descifrar datos, fragmentos de código del servidor de mando y control, así como acceso a claves de GitHub que permitirían a cualquier tercero obtener el control de ese servidor.
Según los especialistas, esa estructura indica el uso de vibe-coding — la creación de software con ayuda de IA sin una limpieza final del código. Esto aumenta la probabilidad de filtraciones y de que otros actores intercepten la infraestructura, además de indicar una posible prisa en la publicación.
¿Estás cansado de que Internet sepa todo sobre ti?