Eine großangelegte Malware-Kampagne wurde im offiziellen Visual Studio Code Marketplace identifiziert. Der Cybersicherheitsexperte Yuval Ronen von ExtensionTotal deckte neun bösartige Extensions auf, die sich als legitime Entwicklertools tarnten. Die Malware verteilte den Kryptowährungsminer XMRig, der heimlich Monero auf infizierten Systemen schürfte.
Rasante Verbreitung der infizierten Extensions
Die schadhaften Erweiterungen wurden am 4. April 2025 im VSCode Marketplace veröffentlicht und erreichten innerhalb weniger Tage über 300.000 Installationen. Sicherheitsanalysten vermuten, dass diese beeindruckenden Installationszahlen künstlich aufgebläht wurden, um Vertrauenswürdigkeit zu suggerieren.
Komplexer Infektionsmechanismus
Nach der Installation initiierte die Malware einen mehrstufigen Infektionsprozess. Der schädliche Code lud einen PowerShell-Script von einem Remote-Server (https://asdf11[.]xyz/) herunter und installierte parallel dazu eine legitime Extension als Tarnung. Die Analyse offenbarte mehrere fortgeschrittene Techniken zur Systemkompromittierung.
Persistenzmechanismen und Systemmanipulation
Die Malware implementierte verschiedene Techniken zur dauerhaften Verankerung im System:
– Erstellung einer getarnten Scheduled Task („OnedriveStartup“)
– Manipulation der Windows-Registry für automatischen Start
– Deaktivierung von Windows Update und Update Medic Service
– Implementierung von Windows Defender-Ausnahmen
Privilege Escalation und Payload-Delivery
Bei eingeschränkten Benutzerrechten nutzte die Malware DLL-Hijacking über MLANG.dll und imitierte den ComputerDefaults.exe-Prozess für Rechteerweiterungen. Nach erfolgreicher Etablierung im System erfolgte die Verbindung zum Command & Control Server myaunet[.]su für den Download des XMRig-Miners.
Betroffene Nutzer sollten umgehend alle verdächtigen VS Code Extensions entfernen und eine gründliche Systemprüfung durchführen. Dies umfasst die manuelle Beseitigung aller Malware-Komponenten: Miner-Prozesse, manipulierte Scheduled Tasks, Registry-Änderungen und kompromittierte Verzeichnisse. Präventive Maßnahmen wie die ausschließliche Installation verifizierter Extensions und regelmäßige Security-Audits sind essentiell für die Systemsicherheit. Die Entdeckung einer npm-Verzeichnisstruktur auf dem C2-Server deutet auf mögliche weitere Verteilungswege über das npm-Ökosystem hin, was zusätzliche Wachsamkeit bei der Verwendung von JavaScript-Paketen erfordert.
