Visual Studio Code: Ransomware in Entwicklung in Add-on versteckt
In Microsofts Entwicklungsumgebung Visual Studio Code gibt es den nächsten Sicherheitsalarm - und diesmal scheint es sich um eine echte Gefahr zu handeln. In zwei Erweiterungen wurden Komponenten einer Ransomware entdeckt.
Trotzdem ist man bei Microsoft alarmiert. Denn die problematischen Erweiterungen wurden bereits am 27. Oktober 2024 ("ahban.cychelloworld") und am 17. Februar 2025 ("ahban.shiba") hochgeladen und konnten die Sicherheitsprüfungen von Microsoft umgehen. Dadurch blieben sie über Monate hinweg im Store verfügbar.
Das Sicherheitsunternehmen ReversingLabs entdeckte, dass die beiden Erweiterungen einen PowerShell-Befehl enthielten, der ein weiteres Skript von einem Amazon AWS-Server nachladen und ausführen sollte. Dieses Skript fungierte als Ransomware, war jedoch offenbar noch in der Entwicklungsphase. Es verschlüsselte lediglich Dateien im Verzeichnis "C:\users\%username%\Desktop\testShiba" und ließ andere Dateien unangetastet.
Nach Abschluss der Verschlüsselung zeigte das Skript eine Windows-Meldung mit dem Hinweis: "Ihre Dateien wurden verschlüsselt. Zahlen Sie 1 ShibaCoin an ShibaWallet, um sie wiederherzustellen." Eine klassische Erpressungsnachricht, weitere Anweisungen blieben jedoch aus.
Besonders problematisch: Die Erweiterung "ahban.cychelloworld" war zunächst harmlos, erhielt aber in Version 0.0.2, die am 24. November 2024 veröffentlicht wurde, den schädlichen Code. Ein Tag später meldete ExtensionTotal Microsoft die Bedrohung automatisch. Dennoch wurden fünf weitere Versionen mit Ransomware-Code akzeptiert und veröffentlicht.
Siehe auch:
Bisher nur Test-Verschlüsselung
Die Erweiterungen mit den Namen "ahban.shiba" und "ahban.cychelloworld" waren wohl bis jetzt nicht endgültig für den Einsatz fertig. Laut eines Berichts des US-Magazins BleepingComputer enthielten sie in Entwicklung befindliche Ransomware und wurden auch erst insgesamt 15-mal heruntergeladen, bevor sie aus dem Store entfernt wurden.Trotzdem ist man bei Microsoft alarmiert. Denn die problematischen Erweiterungen wurden bereits am 27. Oktober 2024 ("ahban.cychelloworld") und am 17. Februar 2025 ("ahban.shiba") hochgeladen und konnten die Sicherheitsprüfungen von Microsoft umgehen. Dadurch blieben sie über Monate hinweg im Store verfügbar.
Das Sicherheitsunternehmen ReversingLabs entdeckte, dass die beiden Erweiterungen einen PowerShell-Befehl enthielten, der ein weiteres Skript von einem Amazon AWS-Server nachladen und ausführen sollte. Dieses Skript fungierte als Ransomware, war jedoch offenbar noch in der Entwicklungsphase. Es verschlüsselte lediglich Dateien im Verzeichnis "C:\users\%username%\Desktop\testShiba" und ließ andere Dateien unangetastet.
Nach Abschluss der Verschlüsselung zeigte das Skript eine Windows-Meldung mit dem Hinweis: "Ihre Dateien wurden verschlüsselt. Zahlen Sie 1 ShibaCoin an ShibaWallet, um sie wiederherzustellen." Eine klassische Erpressungsnachricht, weitere Anweisungen blieben jedoch aus.
Erste Meldung ignoriert
Nachdem die Bedrohung gemeldet wurde, entfernte Microsoft die beiden Erweiterungen rasch aus dem Marketplace. Allerdings hatte das Sicherheitsunternehmen ExtensionTotal die schadhafte Software bereits früher entdeckt und Microsoft darauf hingewiesen, jedoch ohne Reaktion.Besonders problematisch: Die Erweiterung "ahban.cychelloworld" war zunächst harmlos, erhielt aber in Version 0.0.2, die am 24. November 2024 veröffentlicht wurde, den schädlichen Code. Ein Tag später meldete ExtensionTotal Microsoft die Bedrohung automatisch. Dennoch wurden fünf weitere Versionen mit Ransomware-Code akzeptiert und veröffentlicht.
Zusammenfassung
- Ransomware-Komponenten in zwei Visual Studio Code-Erweiterungen entdeckt
- Erweiterungen 'ahban.shiba' und 'ahban.cychelloworld' betroffen
- Schädlicher Code umging monatelang Microsofts Sicherheitsprüfungen
- Ransomware noch in Entwicklung und verschlüsselte nur bestimmte Testdateien
- Microsoft entfernte Erweiterungen nach Meldung aus dem Marketplace
- ExtensionTotal hatte früher gewarnt, jedoch ohne Reaktion von Microsoft
- Eine Erweiterung wurde erst in späteren Versionen mit Schadcode infiziert
Siehe auch:
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Antivirus:
Neue Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen