Microsoft bekommt Malware in VSCode-Erweiterungen nicht in den Griff

Nutzer der Microsoft-Entwicklungsumgebung Visual Studio Code stehen erneut im Visier von Kriminellen. Einmal mehr versuchen diese, Schadcode über Erweiterungen für die IDE auf die Rechner der Entwickler zu schleusen.
Sicherheitslücke, Hacker, Security, Malware, Angriff, Hack, Kriminalität, Virus, Schadsoftware, Cybersecurity, Exploit, Cybercrime, Hacking, Hackerangriff, Internetkriminalität, Sicherheitslücken, Darknet, Sicherheitsupdate, Hacker Angriff, Hacker Angriffe, Hacken, Attack, Hacks, Cyberangriff, Kurs, Crime, Russische Hacker, anti-malware, Risiko, Cyberwar, China Hacker, Sicherheitsrisiko, Malware Warnung, Totenkopf, Sicherheitsproblem, Cyberattacke, tot, Dead, Malware Found, Hazard, Skull

Gut getarnter Schadcode

Sicherheitsforscher vermeldeten, dass seit Februar insgesamt 19 manipulierte Erweiterungen im offiziellen VSCode-Marketplace aktiv waren, die erst jetzt entdeckt wurden. Die Add-ons tarn­ten sich als harmlose Werkzeuge für Microsofts beliebte Entwicklungsumgebung Visual Studio Code, enthielten jedoch versteckten Schadcode - raffiniert platziert in den mitgelieferten Abhängigkeitsordnern.

Aufgedeckt wurde die Kampagne von der Sicherheitsfirma ReversingLabs, die auf Analysen von Software-Lieferketten spezialisiert ist. Die Experten stellten fest, dass die Täter ihren Extensions einen kompletten "node_modules"-Ordner beilegten. Damit verhinderten sie, dass VSCode beim Installieren externe Abhängigkeiten aus dem npm-Register lädt. In diesem mitgelieferten Paket befanden sich manipulierte Versionen weitverbreiteter Module wie "path-is-absolute" oder "@actions/io". In der Datei index.js versteckten die Angreifer eine zusätzliche Klasse, die automatisch gestartet wird, sobald VSCode geöffnet wird.


Das Paket "path-is-absolute" zählt zu den populärsten npm-Bibliotheken überhaupt, seit 2021 wurde es rund neun Milliarden Mal heruntergeladen. Die schädliche Variante tauchte jedoch ausschließlich in den 19 kompromittierten Erweiterungen auf, was den gezielten Charakter der Aktion unterstreicht.

.exe im PNG-Bild

Die versteckte Klasse entschlüsselte beim Start einen verschleierten JavaScript-Dropper, der in einer Datei namens lock abgelegt war. Zudem fanden die Analysten eine weitere Datei, die sich als harmloses PNG-Bild (banner.png) ausgab. Tatsächlich enthielt das vermeintliche Bildarchiv zwei ausführbare Schadkomponenten: das Windows-Tool cmstp.exe, das von Angreifern gerne als sogenanntes Living-off-the-Land-Binary zweckentfremdet wird, sowie einen in Rust entwickelten Trojaner. Letzterer wird derzeit noch umfassend untersucht, sodass seine vollständigen Fähigkeiten bislang unklar sind.

Microsoft wurde über die Funde informiert, und laut Bestätigung von ReversingLabs wurden alle betroffenen Erweiterungen aus dem Marketplace entfernt. Nutzer, die eines der Add-ons installiert haben, sollten ihre Systeme dennoch auf Auffälligkeiten prüfen.

Zusammenfassung
  • 19 manipulierte VSCode-Erweiterungen seit Februar im offiziellen Marketplace aktiv
  • Schadcode versteckt in mitgelieferten Abhängigkeitsordnern der scheinbar harmlosen Add-ons
  • Angreifer nutzten manipulierte Versionen beliebter Module wie 'path-is-absolute'
  • Versteckte Klasse entschlüsselt JavaScript-Dropper und tarnt Schadprogramme als PNG-Bild
  • Schadkomponenten enthalten zweckentfremdetes Windows-Tool und einen Rust-Trojaner
  • Alle betroffenen Erweiterungen wurden inzwischen aus dem Marketplace entfernt
  • Nutzer installierter Add-ons sollten ihre Systeme auf Auffälligkeiten prüfen

Siehe auch:
Thema:
Viren & Trojaner


Neueste Downloads
Mehr Downloads
Beliebt im Preisvergleich
Antivirus Preisvergleich
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!