Microsoft’un resmi VS Code Mağazası’nda zararlı bir uzantı tespit edildi. “Susvsex” adıyla yayımlanan uzantının temel fidye yazılımı işlevlerine sahip olduğu ve yapay zekâ tarafından oluşturulduğu öne sürüldü.
Zararlı Uzantı Güvenlik Araştırmacısı Tarafından Ortaya Çıkarıldı
Secure Annex araştırmacısı John Tuckner, uzantının açıklama kısmında zararlı özelliklerini açıkça paylaştığını belirtti. Tuckner, “suspublisher18” takma adlı geliştirici tarafından yayımlanan uzantının dosyaları uzaktan bir sunucuya aktardığını ve AES-256-CBC algoritmasıyla şifrelediğini tespit etti.
I tried. No response from 'Report abuse' on the marketplace listing yet. Extension is still available. pic.twitter.com/sPNGOnJ25w
— tuckner (@tuckner) November 6, 2025
Araştırmacı, Microsoft’a konuyla ilgili rapor gönderdiğini ancak uzantının uzun süre mağazada kalmaya devam ettiğini açıkladı. Tuckner’a göre bu durum, Microsoft’un güvenlik inceleme sürecinde ciddi eksiklikler olduğunu gösterdi.
Tuckner’ın analizine göre uzantı, yükleme anından itibaren devreye giriyor. “extension.js” dosyası üzerinden IP adresi, şifreleme anahtarı ve komut kontrol adresi gibi sabit değişkenleri çalıştırıyor. Kodun birçok bölümünde yapay zekâ tarafından yazıldığına işaret eden yorum satırları yer alıyor.
Uzantı etkinleştirildiğinde “zipUploadAndEncrypt” adlı bir işlev başlatılıyor. Bu işlev belirli bir dizindeki dosyaları arşivleyip uzaktaki komut merkezine gönderiyor. Ardından, yerel dosyalar şifrelenmiş kopyalarıyla değiştiriliyor.
VS Code pazarındaki fidye yazılımı uzantısı
Araştırmacı, uzantının ayrıca özel bir GitHub deposuna bağlı olduğunu ve belirli aralıklarla “index.html” dosyasını kontrol ederek yeni komutları çalıştırdığını belirtti. İncelemede, depoyu yöneten kişinin Azerbaycan merkezli olabileceği sonucuna ulaşıldı.
Tuckner, susvsex uzantısının muhtemelen Microsoft’un onay sürecini test etmek amacıyla yayımlandığını ancak birkaç küçük değişiklikle ciddi bir tehdit hâline gelebileceğini ifade etti. Secure Annex araştırma ekibi, uzantıyı “AI-Slop” olarak adlandırdı. Bu terim, yapay zekâ tarafından geliştirilen ancak tehlikeli işlevlere sahip deneysel yazılımlar için kullanılıyor.
Microsoft’tan konuyla ilgili henüz resmî bir açıklama gelmedi. Haberin yayımlandığı sırada uzantı mağazada bulunurken daha sonra kaldırıldığı doğrulandı.
