Egy rosszindulatú, MI segítségével készült kiegészítő, amely zsarolóvírus-funkciókat tartalmaz, néhány napig szabadon elérhető volt a Microsoft VS Code hivatalos piacterén. A susvsex nevű bővítményt egy suspublisher18 felhasználó töltötte fel, és már a leírásában is nyíltan jelezte a fájllopás és titkosítás veszélyét. Az extension a Secure Annex kutatója, John Tuckner szerint meglehetősen kezdetleges, programozását MI-re bízva készíthették.
A susvsex telepítése után bármilyen esemény – például maga a telepítés vagy a VS Code indítása – aktiválja az extension.js fájlt. Ebben előre definiált változók – köztük IP-címek, titkosítási kulcsok és vezérlőszerver-cím – szerepelnek, amelyek alapján egyáltalán nem rejtik el a rosszindulatú funkciókat. A bővítmény minden alkalommal ellenőrzi, hogy megtalálható-e a „jelzőfájl”, majd a kijelölt mappákból ZIP-archívumot készít, és ezt feltölti a támadóknak, mielőtt AES-256-CBC titkosítással minden eredeti fájlt kódolna.
A kutató azt is észrevette, hogy az extension egy privát GitHub-tárolót figyel, ahol parancsokat keres, és ezek alapján további utasításokat hajt végre. A hozzáférést biztosító kódnak köszönhetően sikerült kideríteni, hogy a támadó feltehetően Azerbajdzsánból származik.
Bár a susvsex egyelőre inkább a Microsoft piacterének ellenőrzési rendszerét tesztelhette, néhány módosítással veszélyes kiberfegyverré válhat. Végül a kiegészítőt eltávolították, de néhány napig gond nélkül letölthető volt.
