💀 “susvsex”: la extensión de VS Code creada con IA que encriptaba tus archivos

🧩 El caso “susvsex”

En noviembre de 2025, Microsoft eliminó del marketplace una extensión maliciosa para Visual Studio Code llamada “susvsex”, diseñada con ayuda de inteligencia artificial.
Los analistas la clasificaron como “vibe-coded”, un nuevo término para malware parcialmente generado o mejorado con IA.

Lo más inquietante: la extensión se presentaba como una utilidad inofensiva, con una descripción mínima, pero incluía funciones de ransomware integradas.

🧠 Cómo funcionaba el ataque

Al instalarse, “susvsex” activaba automáticamente un conjunto de procesos:

1. Comprimía y subía archivos desde una carpeta de prueba.

2. Los cifraba, dejando versiones bloqueadas en su lugar.

3. Usaba GitHub como servidor de comando y control (C2), leyendo instrucciones desde un repositorio privado.

4. Enviaba reportes sobre cada acción ejecutada.

Aunque inicialmente atacaba solo una carpeta de prueba, bastaba un cambio en el código o una orden remota para apuntar a proyectos reales, repositorios de clientes o sistemas de CI/CD.

🎭 Por qué fue tan difícil detectarla

El código de “susvsex” estaba ofuscado para parecer legítimo y usaba permisos comunes de VS Code, como acceso a archivos locales y conexión a red.
Eso le permitió pasar los controles automáticos del marketplace sin levantar alertas.

Además, incluía un retardo en su activación, una técnica típica para evadir el análisis automatizado.
En otras palabras: parecía dormir hasta que el entorno fuera “real”.

🧱 Qué implica para los desarrolladores

Este caso pone en evidencia una amenaza creciente en la cadena de suministro de software.
Las extensiones de confianza —como las que usamos a diario en VS Code— pueden convertirse en caballos de Troya dentro del entorno de desarrollo.

Los atacantes ya no buscan entrar por el usuario final: entran por el programador.
Y si logran comprometer tu entorno, pueden acceder a:

• Credenciales de repositorios GitHub, GitLab o Bitbucket.

• Pipelines de CI/CD, permitiendo inyectar código malicioso en despliegues.

• Datos de clientes y entornos de producción.

🧰 Qué puedes hacer para proteger tu entorno

Si trabajas en desarrollo o administración de sistemas, toma nota de estas medidas:

1. Instala solo extensiones verificadas y necesarias.
   No confíes en extensiones nuevas con pocas descargas o sin descripción.

2. Revisa los permisos solicitados.
   Si una extensión pide acceso a red o archivos sin motivo claro, desconfía.

3. Monitorea tu entorno con herramientas EDR o antimalware que analicen procesos inusuales.

4. Usa entornos aislados (containers o VMs) para pruebas.

5. Desactiva la actualización automática de extensiones críticas hasta revisarlas manualmente.

🔍 Reflexión final

El caso “susvsex” nos deja una advertencia clara:

La próxima brecha de seguridad podría venir de tu editor de texto favorito.

En la era del código asistido por IA, los atacantes también están usando inteligencia artificial para escribir malware más convincente y sigiloso.
La seguridad del software ya no empieza en el servidor, sino en el entorno del desarrollador.