Negli ultimi giorni il mondo della sicurezza informatica è stato scosso dalla scoperta di una estensione malevola per Visual Studio Code (VS Code) con funzionalità di ransomware, realizzata con l'aiuto dell'intelligenza artificiale. Questa estensione, chiamata "susvsex", è stata pubblicata il 5 novembre 2025 da un utente denominato "suspublisher18" e presentava una descrizione apparentemente innocua, ma fin da subito non cercava di mascherare la propria natura dannosa.

La estensione era progettata per attivarsi automaticamente a ogni evento, sia durante l’installazione che all’avvio di VS Code. Il suo funzionamento prevedeva la creazione di un archivio ZIP di una cartella di test, la trasmissione dei dati a un server remoto e la cifratura dei file locali. Anche se inizialmente la directory presa di mira era solo di staging, questa poteva essere rapidamente modificata attraverso un aggiornamento dell’estensione o tramite comandi inviati dal canale di comando e controllo (C2).

Un aspetto particolarmente pericoloso risiedeva nel fatto che l’estensione utilizzava un repository GitHub come server C2, controllando periodicamente la presenza di nuovi comandi e inviando i risultati delle esecuzioni sempre sullo stesso repository. Nel codice erano presenti anche chiavi di accesso a GitHub e strumenti di decrittazione accidentalmente inclusi nel pacchetto, sintomo di una realizzazione poco professionale ma comunque funzionale.

Distribuzione di malware tramite pacchetti npm

Parallelamente, è stata scoperta una campagna di distribuzione di malware attraverso pacchetti npm trojanizzati. Ben 17 pacchetti npm, apparentemente innocui e presentati come SDK per lo sviluppo, sono stati utilizzati per diffondere Vidar Stealer, un info-stealer molto noto. Questi pacchetti, caricati da account falsi poi bannati, sono stati scaricati almeno 2240 volte prima della rimozione. L’attacco sfruttava script postinstall che scaricavano ed eseguivano il malware da server esterni, con alcune varianti che diversificavano il metodo di esecuzione per eludere i controlli di sicurezza.

Questi episodi evidenziano come la supply chain degli strumenti open source sia costantemente nel mirino degli attaccanti. Sfruttando la fiducia della community e la facilità di pubblicazione, anche estensioni e pacchetti apparentemente legittimi possono celare minacce gravi come ransomware o info-stealer. È fondamentale che gli sviluppatori adottino pratiche di verifica, controllino sempre le fonti dei pacchetti e rimangano aggiornati sulle tecniche di typosquatting e dependency confusion per proteggere i propri ambienti di sviluppo.