Analysten von Koi Security berichten von einer koordinierten Kampagne der Gruppe WhiteCobra gegen die Ökosysteme VS Code Marketplace und Open VSX Registry. Mindestens 24 boesartige VSIX-Pakete wurden identifiziert, die Nutzer von VS Code, Cursor und Windsurf ins Visier nehmen. Auffällig ist ein „Continuous Deployment“-Ansatz: Entfernte Erweiterungen werden binnen kurzer Zeit durch neue Varianten ersetzt, was auf eine robuste, automatisierte Distributionsinfrastruktur hindeutet.
Angriffskette: Tarnung als „Hello World“ und Nachladen ueber Cloudflare Pages
Der Basismodulcode (extension.js) ahmt ein typisches „Hello World“-Template nach, enthält jedoch einen verdeckten Aufruf eines zweiten Moduls (prompt.js). Im Anschluss lädt ein Downloader plattformspezifische Payloads von Cloudflare Pages nach – bereitgestellt für Windows, macOS (Intel) und macOS (ARM). Diese Architektur erhöht die Beständigkeit der Kampagne und erschwert rein signaturbasierte Erkennung.
Windows-Zweig: PowerShell → Python → Shellcode → Lumma Stealer
Unter Windows resultiert die Kette in der Ausführung des Lumma (LummaC2) Stealers. PowerShell startet einen Python-Loader, der obfuskierten Shellcode dekodiert und ausführt. Zielobjekte sind unter anderem Kryptowallets, Browser-Extensions, gespeicherte Passwörter, Cookies und Messengerdaten. Die Nutzung legitimer Systemkomponenten („Living off the Land“) erschwert sowohl die Analyse als auch die Abwehr.
macOS-Zweig: lokaler Mach-O und modulare Nachlade-Logik
Auf macOS kommt ein lokaler Mach-O-Binary zum Einsatz, der weitere Schadmodule nachlädt. Das genaue Malware-Familienprofil dieser Variante ist bisher nicht abschließend zugeordnet, was die signaturbasierte Detektion zusätzlich limitiert.
Social Engineering: professionelle Praesentationen und manipulierte Metriken
WhiteCobra positioniert die Erweiterungen mit professionellem Branding, ausführlichen Beschreibungen und mutmaßlich manipulierten Download- und Bewertungszahlen. Ein prominenter Vorfall: Der Ethereum-Entwickler Zach Cole meldete die Kompromittierung seines Wallets nach Installation von contractshark.solidity-lang für Cursor; in Open VSX wies das Paket rund 54.000 Downloads aus. Laut Koi Security wurden allein im Juli 2025 über ein boesartiges Cursor-Plugin Krypto-Assets im Wert von über 500.000 US-Dollar entwendet.
Warum IDE-Marktplätze angreifbar sind
Das VSIX-Format ist plattformübergreifend und wird von VS Code, Cursor und Windsurf unterstützt. Ein niedriger Veröffentlichungsaufwand und eingeschränkte Moderation schaffen Angriffsflächen für Supply-Chain-Angriffe. Bereits frühere Analysen, unter anderem von Checkmarx und Aqua Security, warnten, dass Extension-Stores als Verteilkanal für Malware missbraucht werden können und Ratings sowie Downloadzahlen manipulationsanfällig sind.
Organisation und Skalierung: Kennzahlen, Playbooks, schnelle Wiederbereitstellung
Den Erkenntnissen von Koi Security zufolge verfolgt die Gruppe interne Umsatzziele zwischen 10.000 und 500.000 US-Dollar je Kampagnenphase. Dokumentierte Playbooks decken C2-Bereitstellung, soziale Ingenieurskunst und Marketing-Taktiken ab. Nach Takedowns können neue Artefakte innerhalb von unter drei Stunden ausgerollt werden – ein deutlicher Hinweis auf Automatisierung und standardisierte Deployment-Pipelines.
Risikoprofil: wer besonders gefaehrdet ist
Hohes Risiko besteht für Entwicklerteams, die mit Kryptowallets, privaten Schlüsseln, Access Tokens und Code-Repositories arbeiten. Das Abgreifen von Sitzungsdaten und Secrets kann zur Kompromittierung von CI/CD-Infrastrukturen und zum Diebstahl digitaler Vermögenswerte führen. Die Nutzung mehrerer IDEs und gemeinsamer Erweiterungsquellen erhöht das Potenzial für breitflächige Folgeschäden.
Praxisempfehlungen: harte Policies, Telemetrie und schnelle Reaktion
Kontrollierte Quellen: Erweiterungen nur von verifizierten Publishern installieren; GitHub-Repos und Commit-Historie prüfen, Code-Funktionalität mit der Beschreibung abgleichen. Vorsicht bei plötzlichen „Shooting-Star“-Plugins ohne belastbare Reputation.
Organisatorische Richtlinien: Allowlisting für Extensions, VSIX-Sideloading deaktivieren, Versionen pinnen, und Artefakte vor Rollout in Entwicklerumgebungen reviewen.
Technische Schutzmassnahmen: Telemetrie auf PowerShell/Python-Anomalien, ausgehenden Traffic zu unbekannten Domains (inkl. temporären Hostings) begrenzen, EDR mit verhaltensbasierter Stealer-Erkennung einsetzen und IoCs aus Koi-Security-Berichten blockieren.
Incident Response: Bei Verdacht Tokens/Schlüssel unverzüglich widerrufen, Secrets rotieren, Workstations forensisch prüfen und die Plattformbetreiber (VS Code Marketplace/Open VSX) zwecks Entfernung melden.
Die WhiteCobra-Kampagne verdeutlicht, dass IDE-Extension-Stores kritische Knoten im Software-Liefernetz sind. Stärkere Moderation, Publisher-Verifizierung und verhaltensbasierte Telemetrie sind essenziell. Organisationen sollten ihre Extension-Governance jetzt schärfen und eine mehrschichtige Abwehr etablieren, um Entwickler-Workflows und Unternehmenswerte wirksam zu schützen.
