一款具备基础勒索软件功能、疑似借助 AI 生成的恶意扩展，已被发布至微软官方 VS Code 应用市场。该扩展名为 susvsex，发布者为 "suspublisher18"，其恶意功能在描述中被公然标注。

Secure Annex 公司研究员 John Tuckner 发现了这款扩展，他表示该扩展是 " 氛围编程 " 的产物，技术复杂度较低。

尽管 Tuckner 已举报该扩展及其明确的功能描述——其中披露会将文件窃取至远程服务器，并通过 AES-256-CBC 算法加密所有文件，但微软未采纳其举报，也未将该扩展从 VS Code 应用市场移除。

勒索软件扩展的工作原理

该扩展会在任意事件触发时激活，包括安装完成时或 VS Code 启动时，随后初始化包含硬编码变量（IP 地址、加密密钥、命令与控制服务器地址）的 "extension.js" 文件。

Tuckner 指出：" 这些变量中多数带有注释，表明代码并非发布者直接编写，极有可能是通过 AI 生成的。" 激活后，扩展会调用名为 zipUploadAndEncrypt 的函数，检查标记文本文件是否存在，随后启动加密流程。

它会将指定目标目录下的文件压缩为 ZIP 归档文件，窃取至硬编码的命令与控制（C2）服务器地址，之后用加密版本替换所有原始文件。

数据盗窃例程

该扩展会轮询一个私人 GitHub 仓库获取指令，定期检查需通过个人访问令牌（PAT）验证的 "index.html" 文件，并尝试执行其中的所有命令。

借助硬编码的 PAT 令牌，研究员成功获取了主机信息，并发现该仓库的所有者疑似位于阿塞拜疆。由于该扩展是公然的威胁，其发布可能是为了测试微软的审核流程。

  VS Code 市场上的勒索软件扩展

Secure Annex 将 susvsex 称为 "AI slop"，其恶意行为在自述文件（README）中完全暴露，但同时指出，只需稍作修改，这款扩展的危险性将大幅提升。 目前 susvsex 已被下架。