Massive Malware-Kampagne im Visual Studio Code Marketplace aufgedeckt

Foto des Autors

CyberSecureFox Editorial Team

Eine großangelegte Malware-Kampagne wurde im offiziellen Visual Studio Code Marketplace identifiziert. Der Cybersicherheitsexperte Yuval Ronen von ExtensionTotal deckte neun bösartige Extensions auf, die sich als legitime Entwicklertools tarnten. Die Malware verteilte den Kryptowährungsminer XMRig, der heimlich Monero auf infizierten Systemen schürfte.

Rasante Verbreitung der infizierten Extensions

Die schadhaften Erweiterungen wurden am 4. April 2025 im VSCode Marketplace veröffentlicht und erreichten innerhalb weniger Tage über 300.000 Installationen. Sicherheitsanalysten vermuten, dass diese beeindruckenden Installationszahlen künstlich aufgebläht wurden, um Vertrauenswürdigkeit zu suggerieren.

Komplexer Infektionsmechanismus

Nach der Installation initiierte die Malware einen mehrstufigen Infektionsprozess. Der schädliche Code lud einen PowerShell-Script von einem Remote-Server (https://asdf11[.]xyz/) herunter und installierte parallel dazu eine legitime Extension als Tarnung. Die Analyse offenbarte mehrere fortgeschrittene Techniken zur Systemkompromittierung.

Persistenzmechanismen und Systemmanipulation

Die Malware implementierte verschiedene Techniken zur dauerhaften Verankerung im System:
– Erstellung einer getarnten Scheduled Task („OnedriveStartup“)
– Manipulation der Windows-Registry für automatischen Start
– Deaktivierung von Windows Update und Update Medic Service
– Implementierung von Windows Defender-Ausnahmen

Privilege Escalation und Payload-Delivery

Bei eingeschränkten Benutzerrechten nutzte die Malware DLL-Hijacking über MLANG.dll und imitierte den ComputerDefaults.exe-Prozess für Rechteerweiterungen. Nach erfolgreicher Etablierung im System erfolgte die Verbindung zum Command & Control Server myaunet[.]su für den Download des XMRig-Miners.

Betroffene Nutzer sollten umgehend alle verdächtigen VS Code Extensions entfernen und eine gründliche Systemprüfung durchführen. Dies umfasst die manuelle Beseitigung aller Malware-Komponenten: Miner-Prozesse, manipulierte Scheduled Tasks, Registry-Änderungen und kompromittierte Verzeichnisse. Präventive Maßnahmen wie die ausschließliche Installation verifizierter Extensions und regelmäßige Security-Audits sind essentiell für die Systemsicherheit. Die Entdeckung einer npm-Verzeichnisstruktur auf dem C2-Server deutet auf mögliche weitere Verteilungswege über das npm-Ökosystem hin, was zusätzliche Wachsamkeit bei der Verwendung von JavaScript-Paketen erfordert.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen