Zwei populäre KI-Erweiterungen für Visual Studio Code haben sich als Einfallstor für systematische Datenspionage entpuppt. Schätzungen zufolge wurden die Plugins zusammen rund 1,5 Millionen Mal installiert und leiteten dabei unbemerkt Quellcode, Konfigurationsdateien und Telemetriedaten an Server in China weiter. Der Vorfall zeigt, wie attraktiv Entwicklungsumgebungen für Software-Supply-Chain-Angriffe geworden sind.
Maliziöse KI-Erweiterungen im Visual Studio Code Marketplace
Betroffen sind die Erweiterungen „ChatGPT — 中文版“ (Publisher: WhenSunset, etwa 1,34 Mio. Installationen) und „ChatMoss“ (Publisher: zhukunpeng, rund 150.000 Installationen). Beide Plugins wurden im offiziellen Visual Studio Code Marketplace angeboten und versprachen einen komfortablen AI-Code-Assistenten zur Beschleunigung der Softwareentwicklung.
Im Extension-Listing und in der Dokumentation fehlten jedoch klare Hinweise auf eine umfangreiche Datenerfassung und -übertragung. Untersuchungen von Sicherheitsexperten zufolge sind beide Erweiterungen Teil derselben Kampagne, die unter dem Namen „MaliciousCorgi“ geführt wird. Die Plugins teilen sich Codefragmente sowie eine gemeinsame Command-&-Control-Infrastruktur.
So funktioniert die MaliciousCorgi-Kampagne in VS Code
1. Automatisches Auslesen sämtlicher geöffneter Dateien
Sobald in VS Code eine Datei geöffnet wird – unabhängig davon, ob sie bearbeitet wird – liest das Erweiterungsmodul den vollständigen Dateiinhalte aus. Die Daten werden Base64-codiert und über einen versteckten iFrame im Webview an einen entfernten Server übertragen.
Besonders kritisch ist, dass nicht nur einzelne Code-Snippets, sondern ganze Dateien inklusive späterer Änderungen exfiltriert werden. Damit wirkt die Erweiterung praktisch wie ein persistentes Spionage-Modul in der IDE.
2. Zielgerichtete Exfiltration von bis zu 50 Dateien pro Anfrage
Über Befehle der Angreifer-Infrastruktur kann das Plugin zusätzlich im Hintergrund bis zu 50 Dateien aus dem aktuellen Workspace selektiv ausleiten. So lassen sich gezielt interessante Repositories, Konfigurationsordner oder sensible Projektteile abziehen, ohne dauerhaft auffälligen Netzwerkverkehr zu erzeugen.
3. Tracking und Entwickler-Fingerprinting über Analytics-SDKs
In einem unsichtbaren iFrame werden außerdem kommerzielle Analytics-SDKs wie Zhuge.io, GrowingIO, TalkingData und Baidu Analytics nachgeladen. Solche Tools dienen eigentlich Produkt- und Marketinganalyse, ermöglichen hier aber ein detailliertes Profiling von Entwicklern und ihren Systemen.
Dazu gehören etwa Nutzungsverhalten in der IDE, geöffnete Projekte, Interaktion mit Features sowie technische Parameter der Arbeitsumgebung. In Summe entsteht ein fein aufgelöstes Bild über Aktivitäten, Arbeitsrhythmen und Infrastruktur der Zielorganisation.
Welche Entwicklerdaten konkret gefährdet sind
Die versteckte Datensammlung betrifft sowohl einzelne Entwickler als auch Unternehmen. Besonders im Fokus stehen:
Proprietärer Quellcode von geschlossenen Produkten, internen Bibliotheken oder Forschungsvorhaben. Derartige Informationen besitzen häufig direkten wirtschaftlichen Wert und können für Industriespionage missbraucht werden.
Konfigurations- und Infrastrukturdateien geben Einblick in Architektur, interne Dienste, API-Endpunkte, Netzsegmentierung oder CI/CD-Pipelines. Solche Informationen erleichtern nachgelagerte Angriffe erheblich.
Geheime Zugangsdaten und Tokens, etwa in Datenbank-Configs, Cloud-Konfigurationen oder .env-Dateien mit API-Keys und Passwörtern. Werden diese kompromittiert, sind nicht nur Quellcode, sondern ganze Produktionsumgebungen, Container-Register oder Speicherdienste gefährdet.
VS-Code-Erweiterungen als kritisches Supply-Chain-Risiko
Entwicklungsumgebungen gelten inzwischen branchenweit als High-Value-Targets. Entwickler besitzen weitreichende Zugriffe auf Repositories, Build-Systeme, Cloud-Ressourcen und interne Tools. VS-Code-Erweiterungen aus dem offiziellen Marketplace genießen dabei oft implizites Vertrauen, was Angriffe über die Software-Lieferkette besonders effektiv macht.
In Berichten großer Sicherheitsanbieter zu Software-Supply-Chain-Angriffen wird seit Jahren auf ähnliche Muster hingewiesen: Angreifer platzieren schädliche Pakete in Ökosystemen wie npm, PyPI oder VS Code Marketplace, tarnen sie als nützliche Tools und profitieren von automatischer Verteilung und Updates. Die MaliciousCorgi-Kampagne reiht sich in dieses Muster ein und zeigt, dass auch scheinbar harmlose AI-Assistenten zur Spionageplattform werden können.
Schutzmaßnahmen: Wie Entwickler ihre VS-Code-Umgebung absichern
Nur vertrauenswürdige Erweiterungen installieren. Bevor Plugins installiert werden, sollten Publisher, Download-Zahlen, Bewertungen und – wenn möglich – der öffentliche Quellcode geprüft werden. Unbekannte KI-Assistenten mit weitreichenden Rechten sind besonders kritisch.
Rechte minimieren und Workspaces trennen. Sensible Repositories sollten nicht in VS-Code-Instanzen geöffnet werden, in denen experimentelle oder wenig geprüfte Erweiterungen aktiv sind. Separate VS-Code-Profile, Container oder VMs helfen, Hochrisiko-Plug-ins zu isolieren.
Netzwerk- und Endpunktsicherheit stärken. Unternehmen sollten ausgehenden Traffic von Entwicklerrechnern überwachen, unbekannte Domains identifizieren und EDR- sowie DLP-Lösungen einsetzen, um verdächtige Exfiltrationsversuche zu erkennen.
Richtlinien und Schulungen etablieren. Organisationen benötigen klare Policies für Extensions, Abhängigkeiten und KI-Tools. Regelmäßige Awareness-Schulungen helfen Entwicklerteams, Risiken durch bösartige Plugins frühzeitig zu erkennen und zu melden.
Secret-Scanning und Code-Security automatisieren. Tools für Secret-Scanning und statische Codeanalyse sollten in Repositories und CI/CD integriert werden, um hartkodierte Zugangsdaten und weitere Schwachstellen proaktiv aufzuspüren.
Der MaliciousCorgi-Vorfall macht deutlich, dass IDE-Erweiterungen wie VS-Code-Plugins als sicherheitskritische Komponenten behandelt werden müssen. Wer seine Entwicklungsumgebung regelmäßig überprüft, nur streng geprüfte KI-Assistenten zulässt und technische wie organisatorische Schutzmaßnahmen kombiniert, reduziert das Risiko eines Quellcode- und Geheimnisabflusses deutlich. Jetzt ist ein guter Zeitpunkt, installierte VS-Code-Erweiterungen zu auditieren, interne Richtlinien zu schärfen und Entwicklungsumgebungen konsequent als Teil der Unternehmenssicherheitsarchitektur zu begreifen.
