Inhalt
Cybersicherheitsforscher haben eine bösartige Visual Studio Code (VS Code)-Erweiterung namens "susvsex" entdeckt, die rudimentäre Ransomware-Fähigkeiten besitzt. Diese Erweiterung, von der angenommen wird, dass sie mit Hilfe künstlicher Intelligenz erstellt wurde – oft als „vibe-codierte“ Malware bezeichnet – wurde vom Secure Annex-Forscher John Tuckner gemeldet. Interessanterweise versucht die Erweiterung nicht, ihre bösartige Natur zu verbergen. Sie wurde am 5. November 2025 von einem Nutzer namens "suspublisher18" mit einer minimalistischen Beschreibung „Just testing“ und einer offensichtlich gefälschten E-Mail-Adresse: "donotsupport@example.com" hochgeladen. Die angegebene Funktionalität der Erweiterung besteht darin, beim ersten Start automatisch Dateien aus einem vordefinierten Verzeichnis (C:\Users\Public\testing unter Windows oder /tmp/testing unter macOS) zu zippen, hochzuladen und zu verschlüsseln.\n\nMicrosoft reagierte schnell und hatte die Erweiterung bereits am 6. November aus dem offiziellen VS Code Marketplace entfernt. Die zentrale bösartige Routine der Erweiterung, genannt "zipUploadAndEncrypt", wird automatisch bei jedem Auslöseereignis wie Installation oder Start von VS Code aktiviert. Diese Funktion komprimiert einen Zielordner in ein ZIP-Archiv, sendet es an einen entfernten Server und verschlüsselt anschließend die Dateien in diesem Verzeichnis, wodurch sie ohne den Entschlüsselungsschlüssel unzugänglich werden. Glücklicherweise ist das Zielverzeichnis standardmäßig auf einen Test-Staging-Ordner gesetzt, was den aktuellen Schaden begrenzt, aber leicht durch ein zukünftiges Update oder über Befehle, die über einen verdeckten Command-and-Control-(C2)-Kanal gesendet werden, geändert werden könnte.\n\nApropos C2: Die Malware nutzt geschickt GitHub-Repositories als Kommandozentrale. Sie fragt periodisch ein privates GitHub-Repository nach neuen Befehlen ab, indem sie eine "index.html"-Datei liest, und schreibt Ausführungsergebnisse in eine "requirements.txt"-Datei zurück, wobei ein fest codiertes GitHub-Zugriffstoken verwendet wird, das in der Erweiterung eingebettet ist. Das verknüpfte GitHub-Konto "aykhanmv" ist weiterhin aktiv, wobei der Entwickler angibt, in Baku, Aserbaidschan, ansässig zu sein. Detaillierte Kommentare, README-Dateien mit Ausführungsanweisungen und Platzhaltervariablen im Code deuten stark auf eine KI-unterstützte Erstellung oder „vibe coding“ hin. In einem Fehler enthielt das Paket der Erweiterung versehentlich wichtige Komponenten wie Entschlüsselungstools, Servercode und GitHub-Tokens, was anderen möglicherweise erlaubt, die C2-Infrastruktur zu kapern.\n\nIn einer verwandten Entdeckung identifizierten die Datadog Security Labs 17 bösartige npm-Pakete, die sich als legitime Software Development Kits (SDKs) tarnen. Diese Pakete, hochgeladen zwischen dem 21. und 26. Oktober 2025 von Konten namens "aartje" und "saliii229911", installieren heimlich den Vidar-Informationsdieb auf kompromittierten Systemen. Dies ist das erste Mal, dass Vidar über das npm-Registry verteilt wurde. Obwohl die Konten schnell gesperrt wurden, wurden die Pakete bereits über 2.200 Mal heruntergeladen, wobei viele Downloads möglicherweise durch automatisierte Scraper verursacht wurden.\n\nDer Angriffsmechanismus in diesen npm-Paketen basiert auf Postinstall-Skripten, die in ihren "package.json"-Dateien definiert sind. Diese Skripte laden ein ZIP-Archiv von einem externen Server herunter und führen die darin enthaltene Vidar-Malware aus. Varianten verwenden unterschiedliche Methoden: Einige führen ein PowerShell-Skript aus, bevor sie JavaScript ausführen, um die Infektionskette abzuschließen. Von Datadog analysierte Vidar-Proben verwenden fest codierte Telegram- und Steam-Konten als Dead-Drop-Punkte, um die tatsächlichen Kommando-Server zu lokalisieren. Forscher vermuten, dass die unterschiedlichen Postinstall-Implementierungen helfen, die Erkennung durch variierende Verhaltenssignaturen zu umgehen.\n\nDiese Vorfälle fügen sich in eine wachsende Liste von Supply-Chain-Angriffen ein, die Open-Source-Ökosysteme wie npm, PyPI, RubyGems und Open VSX ins Visier nehmen. Sie unterstreichen die kritische Bedeutung für Entwickler, Vorsicht walten zu lassen, Changelogs sorgfältig zu prüfen und sich der gängigen Angriffsvektoren wie Typosquatting und Dependency Confusion bewusst zu sein, wenn sie Drittanbieter-Pakete einbinden. Der Anstieg KI-unterstützter Malware-Entwicklung und zunehmend raffinierter Supply-Chain-Kompromittierungen verdeutlicht den dringenden Bedarf an verbesserten Sicherheitspraktiken in Software-Entwicklungsgemeinschaften.
