Forschende von Secure Annex haben im Visual Studio Code Marketplace eine Erweiterung entdeckt, die sich als Entwickler-Tool tarnt, aber Grundfunktionen eines Erpressungstrojaners mit Datendiebstahl vereint. Das Paket „susvsex“ des Autors „suspublisher18“ kann Dateien abziehen und anschliessend lokal verschluesseln – ein typisches Muster für Supply‑Chain‑Angriffe auf Entwicklerumgebungen.
Kernerkenntnisse: Offene Ransomware-Funktionen in VS-Code-Extension
Laut Secure Annex listet das README der Erweiterung ungewöhnlich offen zwei Hauptfunktionen: Upload lokaler Dateien auf einen entfernten Server sowie Verschluesselung aller lokalen Dateien mit AES‑256‑CBC. Diese Transparenz deutet auf einen experimentellen Charakter und einen Praxistest der Moderationsprozesse im Microsoft‑Katalog hin.
Technische Details: Aktivierung, Exfiltration und Steuerung
Hartkodierte Konfiguration und KI‑Artefakte
Im Paket findet sich eine extension.js mit hartkodierter IP‑Adresse, Kryptoschlüsseln und der C2‑Zieladresse. Kommentierung und Code-Struktur lassen auf umfangreiches KI‑Generated Code schliessen – ein oft roh wirkender „AI‑Slop“, der mit minimaler Nacharbeit dennoch erheblichen Schaden verursachen kann.
Ausloeser, Datenabfluss und AES‑256‑CBC
Die Erweiterung wird bei beliebigen VS‑Code‑Ereignissen aktiv (Installation, Start) und ruft zipUploadAndEncrypt auf. Der Ablauf: Prüfung eines Markers, Sammlung definierter Dateien in ein ZIP‑Archiv, Upload zum vordefinierten Server und anschliessendes Ersetzen der Originale durch verschluesselte Kopien. Die Nutzung von AES‑256‑CBC erschwert eine Wiederherstellung ohne Schlüssel erheblich.
Fernsteuerung via GitHub und PAT‑Token
Parallel fragt die Extension einen privaten GitHub‑Repository per Personal Access Token (PAT) ab und sucht in index.html nach Kommandos. Telemetriedaten deuten laut Secure Annex auf einen mutmasslichen Betreiberbezug nach Aserbaidschan hin.
Einordnung: Moderationsrisiken und Supply‑Chain‑Bedrohung
Der Fall zeigt, wie leicht Erweiterungs-Oekosysteme für Angriffe auf Entwicklerketten missbraucht werden können. Schon geringe Anpassungen – etwa verschleierte Netzwerk-IOC, dyn. Schlüsselgenerierung oder zielgerichtete Selektoren – können aus einem Proof‑of‑Concept eine vollwertige Ransomware‑ oder Stealer‑Kampagne machen. Branchenberichte von Organisationen wie Sonatype und der OpenSSF warnen seit Jahren vor wachsender Missbrauchsdynamik in Paket- und Erweiterungsregistern; historische Vorfälle (z. B. npm‑„event‑stream“) belegen den Hebeleffekt auf Software-Lieferketten.
Indikatoren fuer Kompromittierung und Erkennung
Als indirekte IoCs gelten: durch den VS‑Code‑Prozess initiierte Archivierung von Nutzerdateien, ungewohnte ausgehende Verbindungen nach Installation eines neuen Plugins, Nutzung von GitHub‑PAT‑Tokens in Editor‑Kontexten sowie Zugriffe auf private Repositorien aus der Extension‑Laufzeitumgebung.
Empfehlungen fuer Entwickler und Organisationen
Extension‑Hygiene: Installation nur aus Allowlists, formale Prüfung von Signaturen und Quellcode, regelmässige Inventarisierung von IDE‑Erweiterungen. VS‑Code Workspace Trust aktiv durchsetzen, Ausführung unbekannter Tasks unterbinden.
Netzwerk- und Prozess-Monitoring: Egress‑Kontrollen für IDEs, Erkennung von ZIP‑Erzeugung und Krypto‑APIs, EDR/SIEM‑Regeln für auffällige Skriptausführung aus dem Extensions‑Verzeichnis.
Geheimnisschutz: PAT‑Tokens minimieren (Least Privilege, kurze Laufzeiten), sichere Secret‑Stores statt Editor‑Einstellungen, regelmässige Rotation und Review der Berechtigungen.
Resilienz: Gesicherte Backups von Quellcode und Build‑Artefakten, Segmentierung der Dev‑Netze, Least‑Privilege‑Prinzip, MFA für Repos und CI/CD. Schulung der Teams zur Erkennung verdächtiger Metadaten (Autor, Installationszahlen, Bewertungen, Quell‑Repo).
Secure Annex hat Microsoft über die Entdeckung informiert; die Extension ist nach aktuellem Stand weiterhin verfügbar. Organisationen sollten die Installation von „susvsex“ umgehend blockieren, Entwicklerarbeitsplätze inventarisieren und die eigenen Moderations- und Zulassungsprozesse für Tools schärfen. Wer frühzeitig Kontrolle über die Erweiterungs-Oekosysteme etabliert, senkt das Risiko von Code‑Kompromittierungen und Datenverlust deutlich.
