Sicherheitsforscher von ReversingLabs haben eine kritische Bedrohung im Visual Studio Code Marketplace aufgedeckt. Zwei schädliche Extensions – ahban.shiba und ahban.cychelloworld – enthielten versteckte Ransomware-Komponenten, die über mehrere Monate unentdeckt blieben und eine potenzielle Gefahr für Entwickler darstellten.
Technische Analyse der Malware-Funktionsweise
Die identifizierten Extensions nutzten PowerShell-Befehle zur Ausführung bösartiger Skripte, die von einem Amazon AWS-Server nachgeladen wurden. Die Analyse zeigt, dass sich die Ransomware in einer Testphase befand, da sie ausschließlich Dateien im spezifischen Verzeichnis „C:\users\%username%\Desktop\testShiba“ verschlüsselte. Diese gezielte Einschränkung deutet auf eine Entwicklungsphase der Malware hin.
Zeitlicher Verlauf der Bedrohung
Die Extension ahban.cychelloworld wurde am 27. Oktober 2024 im Marketplace veröffentlicht, gefolgt von ahban.shiba am 17. Februar 2025. Besonders bemerkenswert ist, dass die erste Version von ahban.cychelloworld zunächst harmlos war. Der schädliche Code wurde erst mit dem Update auf Version 0.0.2 am 24. November 2024 eingeführt, worauf fünf weitere infizierte Updates folgten.
Ransomware-Charakteristiken und Bedrohungsanalyse
Nach erfolgreicher Verschlüsselung zeigte die Malware eine simple Lösegeldforderung: „Ваши файлы зашифрованы. Чтобы восстановить их, заплатите 1 ShibaCoin на ShibaWallet“. Die rudimentäre Natur dieser Nachricht und das Fehlen detaillierter Anweisungen unterstreichen den experimentellen Charakter dieser Malware-Kampagne.
Sicherheitslücken im VSCode Marketplace
Trotz der automatischen Erkennung der Bedrohung durch Sicherheitssysteme erfolgte keine zeitnahe Reaktion seitens Microsoft. Die geringe Installationsbasis von nur 7-8 Downloads könnte zur verzögerten Behandlung der Bedrohung beigetragen haben. Dieser Vorfall offenbart signifikante Schwachstellen im Sicherheitsüberprüfungsprozess des VSCode Marketplaces.
Diese Sicherheitslücke unterstreicht die dringende Notwendigkeit verbesserter Sicherheitsmaßnahmen im VS Code Marketplace. Entwickler sollten Extensions nur aus vertrauenswürdigen Quellen installieren und regelmäßige Sicherheitsüberprüfungen ihrer Entwicklungsumgebung durchführen. Microsoft muss den Verifizierungsprozess für Marketplace-Updates verstärken und schneller auf Sicherheitswarnungen reagieren – unabhängig von der Popularität der betroffenen Extensions.
