На чиле, на расслабоне: вайб-хакер написал шифровальщик, но оставил токены прямо в коде

leer en español

Microsoft Visual Studio Code Secure Annex susvsex GitHub ИИ вредоносное расширение
На чиле, на расслабоне: вайб-хакер написал шифровальщик, но оставил токены прямо в коде
Microsoft Visual Studio Code Secure Annex susvsex GitHub ИИ вредоносное расширение

Парень из Баку упаковал вредонос вместе с инструкцией по дешифровке.

image

В экосистеме Visual Studio Code было выявлено вредоносное расширение с вымогательскими признаками, в разработке которого, как предполагается, использовалась генеративная нейросеть. Инструмент получил название «susvsex» и был загружен 5 ноября 2025 года пользователем с псевдонимом «suspublisher18». Он снабдил своё расширение кратким комментарием «Просто тестирую» и указал электронную почту с явным предупреждением — donotsupport@example[.]com. Уже 6 ноября Microsoft исключила его из официального каталога расширений.

Ключевая особенность расширения — автоматический запуск функции под названием «zipUploadAndEncrypt» сразу после установки или при открытии VS Code. Она выполняет архивацию содержимого тестовых директорий — C:\Users\Public\testing в Windows или /tmp/testing в macOS — и отправляет сжатые файлы на внешний сервер, заменяя их на зашифрованные версии. Хотя исходно целевой каталог настроен как временный, его можно легко заменить, выпустив новую версию расширения или передав команду через управляющий канал.

Дополнительную угрозу представляет механизм удалённого контроля, реализованный через GitHub. Расширение регулярно обращается к закрытому репозиторию за новыми инструкциями, считывая их из файла index.html, и загружает результаты выполнения в файл requirements.txt, используя встроенный в код токен доступа. Эта схема позволяет операторам динамически изменять поведение вредоносной программы и отслеживать её работу.

Автором репозитория на GitHub числится пользователь с ником aykhanmv, указавший в профиле, что находится в Баку, Азербайджан. Его аккаунт оставался активным на момент публикации отчёта специалистами Secure Annex.

Исследователи обратили внимание на характерные признаки автоматической генерации кода — среди них упрощённые описания функций, шаблонные переменные и наличие в составе пакета не только самой полезной нагрузки, но и вспомогательных инструментов. В частности, внутри расширения оказались файлы для расшифровки данных, фрагменты кода сервера управления и контроля, а также доступ к ключам GitHub, с помощью которых любой сторонний пользователь мог бы получить контроль над этим сервером.

По мнению специалистов, подобное оформление указывает на использование вайб-кодинга — создания программного обеспечения с помощью ИИ без финальной зачистки кода. Это повышает вероятность утечек и перехвата инфраструктуры другими участниками, а также свидетельствует о возможной спешке при публикации.