Ekstensi Ransomware “susvsex” Masuk ke Marketplace VS Code — Dugaan Kode AI dan Kegagalan Proses Validasi
Sebuah ekstensi berbahaya dengan kemampuan ransomware dasar berhasil terdaftar di marketplace resmi Visual Studio Code milik Microsoft. Ekstensi itu, yang dipublikasikan dengan nama susvsex oleh akun suspublisher18, bahkan menuliskan fungsionalitas berbahaya di deskripsi paketnya. Temuan ini menunjukkan celah signifikan pada proses verifikasi ekstensi dan menimbulkan pertanyaan mengenai pengawasan konten yang ditawarkan kepada pengembang.
Peneliti dari Secure Annex, John Tuckner, mengidentifikasi susvsex dan menyebutnya produk dari praktik “vibe coding” — kode yang tampak dihasilkan atau sangat dibantu oleh alat AI, bukan ditulis secara manual oleh penerbit. Menurut penemuan Tuckner, beberapa variabel penting seperti alamat server kendali (C2), kunci enkripsi, dan detail konfigurasi disertai komentar yang menunjuk pada pembuatan otomatis menggunakan AI.
Cara kerja malware pada ekstensi
Setelah dipasang atau pada saat Visual Studio Code diluncurkan, ekstensi menjalankan berkas inisialisasi yang memuat variabel-variabel terhardcode. Salah satu fungsi inti, bernama zipUploadAndEncrypt, melakukan beberapa langkah berbahaya: membuat arsip .ZIP dari berkas-berkas dalam direktori target, mengirim arsip tersebut ke server C2, lalu mengganti berkas-berkas asli dengan versi terenkripsi. Algoritme enkripsi yang digunakan tercatat sebagai AES-256-CBC.
Selain enkripsi, ekstensi memonitor perintah dari repositori privat GitHub. Ia berkala memeriksa sebuah index.html yang diakses menggunakan token akses pribadi (PAT) yang disimpan dalam kode. Dengan memanfaatkan PAT tersebut, peneliti mampu memperoleh informasi host dan menelusuri keberadaan pemilik repositori; indikasi awal menempatkan pemilik di wilayah Azerbaijan.
Karena README dan deskripsi paket secara eksplisit mengungkapkan aksi pencurian data dan enkripsi, Secure Annex menyebutnya sebagai contoh “AI slop” — kode berbahaya yang kasar namun jelas. Namun, peneliti juga menekankan bahwa beberapa penyempurnaan sederhana pada kode itu bisa membuatnya jauh lebih berbahaya dan sulit dideteksi.
Respons Microsoft dan implikasinya
Tuckner melaporkan temuan ini kepada Microsoft, namun menurut dirinya laporan tersebut tidak langsung mengakibatkan penghapusan paket dari registry. Pada saat artikel ini ditulis, susvsex tercatat sudah tidak tersedia lagi di marketplace, tetapi periode kemunculannya menimbulkan keprihatinan tentang efektivitas proses pemeriksaan kode pihak ketiga.
Insiden ini memunculkan dua masalah besar. Pertama, adanya ekstensi yang mampu mencuri dan mengenkripsi berkas pengguna menyoroti risiko ekstensi pihak ketiga, terutama bagi pengembang yang memberi ekstensinya akses luas terhadap filesystem. Kedua, indikasi penggunaan AI untuk menghasilkan kode berbahaya menunjukkan bahwa ancaman dapat semakin cepat dikembangkan dan diproduksi dalam skala lebih besar, mempercepat siklus eksploitasi terhadap luluh-lantaknya review manusia.
Pelajaran praktis bagi pengembang dan administrator
Para pengembang serta tim keamanan disarankan untuk mengambil sejumlah langkah mitigasi: membatasi hak akses ekstensi yang diinstal, memeriksa reputasi dan pemeliharaan paket sebelum memasang, serta mengaktifkan mekanisme sandboxing atau kebijakan yang membatasi akses berkas. Untuk organisasi, kebijakan pemeriksaan komponen pihak ketiga dan monitoring perilaku runtime dapat membantu mendeteksi aktivitas mencurigakan lebih awal.
Kejadian ini juga menjadi peringatan bahwa proses verifikasi marketplace perlu diperkuat—baik dengan pemeriksaan otomatis yang lebih canggih maupun ulasan manual yang lebih ketat—karena kodifikasi berbahaya kini dapat muncul dalam paket yang tampak sah dan mudah dipasang oleh pengguna akhir.
