WhiteCobra missbraucht VS Code Marketplace und Open VSX: orchestrierte VSIX-Kampagne gegen Entwickler

Foto des Autors

CyberSecureFox Editorial Team

Analysten von Koi Security berichten von einer koordinierten Kampagne der Gruppe WhiteCobra gegen die Ökosysteme VS Code Marketplace und Open VSX Registry. Mindestens 24 boesartige VSIX-Pakete wurden identifiziert, die Nutzer von VS Code, Cursor und Windsurf ins Visier nehmen. Auffällig ist ein „Continuous Deployment“-Ansatz: Entfernte Erweiterungen werden binnen kurzer Zeit durch neue Varianten ersetzt, was auf eine robuste, automatisierte Distributionsinfrastruktur hindeutet.

Angriffskette: Tarnung als „Hello World“ und Nachladen ueber Cloudflare Pages

Der Basismodulcode (extension.js) ahmt ein typisches „Hello World“-Template nach, enthält jedoch einen verdeckten Aufruf eines zweiten Moduls (prompt.js). Im Anschluss lädt ein Downloader plattformspezifische Payloads von Cloudflare Pages nach – bereitgestellt für Windows, macOS (Intel) und macOS (ARM). Diese Architektur erhöht die Beständigkeit der Kampagne und erschwert rein signaturbasierte Erkennung.

Windows-Zweig: PowerShell → Python → Shellcode → Lumma Stealer

Unter Windows resultiert die Kette in der Ausführung des Lumma (LummaC2) Stealers. PowerShell startet einen Python-Loader, der obfuskierten Shellcode dekodiert und ausführt. Zielobjekte sind unter anderem Kryptowallets, Browser-Extensions, gespeicherte Passwörter, Cookies und Messengerdaten. Die Nutzung legitimer Systemkomponenten („Living off the Land“) erschwert sowohl die Analyse als auch die Abwehr.

macOS-Zweig: lokaler Mach-O und modulare Nachlade-Logik

Auf macOS kommt ein lokaler Mach-O-Binary zum Einsatz, der weitere Schadmodule nachlädt. Das genaue Malware-Familienprofil dieser Variante ist bisher nicht abschließend zugeordnet, was die signaturbasierte Detektion zusätzlich limitiert.

Social Engineering: professionelle Praesentationen und manipulierte Metriken

WhiteCobra positioniert die Erweiterungen mit professionellem Branding, ausführlichen Beschreibungen und mutmaßlich manipulierten Download- und Bewertungszahlen. Ein prominenter Vorfall: Der Ethereum-Entwickler Zach Cole meldete die Kompromittierung seines Wallets nach Installation von contractshark.solidity-lang für Cursor; in Open VSX wies das Paket rund 54.000 Downloads aus. Laut Koi Security wurden allein im Juli 2025 über ein boesartiges Cursor-Plugin Krypto-Assets im Wert von über 500.000 US-Dollar entwendet.

Warum IDE-Marktplätze angreifbar sind

Das VSIX-Format ist plattformübergreifend und wird von VS Code, Cursor und Windsurf unterstützt. Ein niedriger Veröffentlichungsaufwand und eingeschränkte Moderation schaffen Angriffsflächen für Supply-Chain-Angriffe. Bereits frühere Analysen, unter anderem von Checkmarx und Aqua Security, warnten, dass Extension-Stores als Verteilkanal für Malware missbraucht werden können und Ratings sowie Downloadzahlen manipulationsanfällig sind.

Organisation und Skalierung: Kennzahlen, Playbooks, schnelle Wiederbereitstellung

Den Erkenntnissen von Koi Security zufolge verfolgt die Gruppe interne Umsatzziele zwischen 10.000 und 500.000 US-Dollar je Kampagnenphase. Dokumentierte Playbooks decken C2-Bereitstellung, soziale Ingenieurskunst und Marketing-Taktiken ab. Nach Takedowns können neue Artefakte innerhalb von unter drei Stunden ausgerollt werden – ein deutlicher Hinweis auf Automatisierung und standardisierte Deployment-Pipelines.

Risikoprofil: wer besonders gefaehrdet ist

Hohes Risiko besteht für Entwicklerteams, die mit Kryptowallets, privaten Schlüsseln, Access Tokens und Code-Repositories arbeiten. Das Abgreifen von Sitzungsdaten und Secrets kann zur Kompromittierung von CI/CD-Infrastrukturen und zum Diebstahl digitaler Vermögenswerte führen. Die Nutzung mehrerer IDEs und gemeinsamer Erweiterungsquellen erhöht das Potenzial für breitflächige Folgeschäden.

Praxisempfehlungen: harte Policies, Telemetrie und schnelle Reaktion

Kontrollierte Quellen: Erweiterungen nur von verifizierten Publishern installieren; GitHub-Repos und Commit-Historie prüfen, Code-Funktionalität mit der Beschreibung abgleichen. Vorsicht bei plötzlichen „Shooting-Star“-Plugins ohne belastbare Reputation.

Organisatorische Richtlinien: Allowlisting für Extensions, VSIX-Sideloading deaktivieren, Versionen pinnen, und Artefakte vor Rollout in Entwicklerumgebungen reviewen.

Technische Schutzmassnahmen: Telemetrie auf PowerShell/Python-Anomalien, ausgehenden Traffic zu unbekannten Domains (inkl. temporären Hostings) begrenzen, EDR mit verhaltensbasierter Stealer-Erkennung einsetzen und IoCs aus Koi-Security-Berichten blockieren.

Incident Response: Bei Verdacht Tokens/Schlüssel unverzüglich widerrufen, Secrets rotieren, Workstations forensisch prüfen und die Plattformbetreiber (VS Code Marketplace/Open VSX) zwecks Entfernung melden.

Die WhiteCobra-Kampagne verdeutlicht, dass IDE-Extension-Stores kritische Knoten im Software-Liefernetz sind. Stärkere Moderation, Publisher-Verifizierung und verhaltensbasierte Telemetrie sind essenziell. Organisationen sollten ihre Extension-Governance jetzt schärfen und eine mehrschichtige Abwehr etablieren, um Entwickler-Workflows und Unternehmenswerte wirksam zu schützen.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen