{"id":5732,"date":"2025-11-10T14:29:16","date_gmt":"2025-11-10T14:29:16","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=5732"},"modified":"2025-11-10T14:29:16","modified_gmt":"2025-11-10T14:29:16","slug":"vibe-codierte-ransomware-auf-microsoft-marketplace-entdeckt","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=5732","title":{"rendered":"Vibe-codierte Ransomware auf Microsoft Marketplace entdeckt"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Forscher haben eine Visual- Studio- Code-Erweiterung mit Ransomware-Funktionen entdeckt.\n

fadfebrian \u2013 shutterstock.com<\/p>\n<\/div>\n

Der Sicherheitsspezialist Secure Annex stellte k\u00fcrzlich fest, dass eine Schadsoftware namens \u201eRansomvibe\u201d in Erweiterungen f\u00fcr den Quellcode-Editor Visual Studio Code eingebettet wurde. \u201eSobald die Erweiterung aktiviert ist, wird zun\u00e4chst die Funktion zipUploadAndEcnrypt ausgef\u00fchrt. Diese Funktion wendet alle f\u00fcr Ransomware und Erpressungssoftware typischen Techniken an\u201c, hei\u00dft es im Forschungsbericht.<\/p>\n

Demnach wird das Verzeichnis als Testumgebung konfiguriert, sodass die Auswirkungen derzeit gering sind. \u201eEs kann jedoch problemlos mit einem Erweiterungsupdate oder per Fernbefehl aktualisiert werden\u201c, mahnen die Forscher.<\/p>\n

Laut Secure Annex handelt es sich bei dem ver\u00f6ffentlichten Schadprogramm um vibe-codierten<\/a> Code, der keinerlei Raffinesse aufweist. \u201eDies ist kein ausgekl\u00fcgeltes Beispiel, da der Code des Befehls- und Kontrollservers versehentlich zusammen mit Entschl\u00fcsselungstools in das ver\u00f6ffentlichte Erweiterungspaket aufgenommen wurde\u201c, erkl\u00e4rt John Tuckner von Secure Annex und f\u00fcgte hinzu, dass die Erweiterung eine \u201eoffensichtlich b\u00f6sartige\u201c Marktplatzbeschreibung enth\u00e4lt.<\/p>\n

\u201eObwohl die Erweiterung offensichtliche Warnsignale aufweist, schl\u00fcpfte der Code durch die \u00dcberpr\u00fcfungsfilter von Microsoft\u201c, betont Tuckner in einem X-Beitrag<\/a>.<\/p>\n

Hinweise auf KI generierten Code<\/h2>\n

Die Erweiterung mit dem Namen \u201esuspublisher18.susvsex\u201c enth\u00e4lt die Datei \u201cpackage.json\u201d, das bei jedem Ereignis, sogar w\u00e4hrend der Installation, automatisch aktiviert wird. Zudem erm\u00f6glicht es das Tool, Befehls- und Kontrollfunktionen zu testen. Innerhalb des Einstiegspunkts \u201eextension.js\u201c fanden die Forscher fest codierte Variablen, darunter Server-URL, Verschl\u00fcsselungsschl\u00fcssel, C2-Ziele und Abfrageintervalle. Die meisten dieser Variablen weisen darauf hin, dass der Code durch KI generiert wurde.<\/p>\n

Die beiden enthaltenen Entschl\u00fcsselungsprogramme basieren auf Python und Node. Zus\u00e4tzlich wurde ein fest codierter Entschl\u00fcsselungsschl\u00fcssel eingef\u00fcgt.<\/p>\n

Erweiterung verweist auf ein GitHub-basiertes C2<\/h2>\n

Ransomvibe setzt eine eher ungew\u00f6hnliche GitHub-basierte Command-and-Control-Infrastruktur (C2) ein, anstatt sich auf herk\u00f6mmliche C2-Server zu verlassen. Die Erweiterung nutzt ein privates GitHub-Repository, um Befehle zu empfangen und auszuf\u00fchren. Sie \u00fcberpr\u00fcft regelm\u00e4\u00dfig eine Datei namens \u201eindex.html\u201c auf neue Commits, f\u00fchrt die eingebetteten Befehle aus und schreibt die Ausgabe dann mit einem in der Erweiterung geb\u00fcndelten GitHub Personal Access Token (PAT) zur\u00fcck in \u201erequirements.txt\u201c.<\/p>\n

Dieses C2-Verhalten erm\u00f6glicht nicht nur, Host-Daten zu exfiltrieren, sondern legt auch die Umgebung des Angreifers offen, deren Spuren auf einen GitHub-Benutzer in Baku hinweisen, dessen Zeitzone mit den von der Malware selbst protokollierten Systemdaten \u00fcbereinstimmt.<\/p>\n

Secure Annex bezeichnet dies als ein Musterbeispiel f\u00fcr die Entwicklung von KI-gest\u00fctzter Malware, mit falsch platzierten Quelldateien (einschlie\u00dflich Entschl\u00fcsselungstools und dem C2-Code des Angreifers) und einer README.md-Datei, die die sch\u00e4dliche Funktionalit\u00e4t ausdr\u00fccklich beschreibt. Tuckner argumentiert jedoch, dass der eigentliche Fehler im \u00dcberpr\u00fcfungssystem des Microsoft Marketplace liegt, das die Erweiterung nicht erkannt hat.<\/p>\n

So reagiert Microsoft<\/h2>\n

Microsoft gab an, die Erweiterung aus dem Marketplace entfernt zu haben. Jede Erweiterungsseite im Marktplatz enth\u00e4lt einen Link \u201eMissbrauch melden\u201d. Alle Meldungen w\u00fcrden gepr\u00fcft, hie\u00df es. \u201eWenn eine Erweiterung als b\u00f6sartig eingestuft oder eine Schwachstelle gefunden wird, wird die Erweiterung aus dem Marktplatz entfernt, auf eine Sperrliste gesetzt und automatisch von VS Code deinstalliert\u201c, so der Tech-Gigant. Unternehmen, die den Zugriff auf den Marktplatz verhindern m\u00f6chten, k\u00f6nnen dies durch das Sperren bestimmter Endpunkte<\/a> tun, hei\u00dft es weiter.<\/p>\n

J\u00fcngste Vorf\u00e4lle<\/a> haben gezeigt, dass b\u00f6sartige oder unachtsame Erweiterungen zu einem wiederkehrenden Problem im Visual Studio Code-\u00d6kosystem werden \u2013 einige leaken Anmeldedaten<\/a>, andere stehlen stillschweigend Code oder sch\u00fcrfen<\/a> Kryptow\u00e4hrung. (jm)<\/p>\n

<\/a><\/p>\n

<\/a><\/p>\n\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Forscher haben eine Visual- Studio- Code-Erweiterung mit Ransomware-Funktionen entdeckt. fadfebrian \u2013 shutterstock.com Der Sicherheitsspezialist Secure Annex stellte k\u00fcrzlich fest, dass eine Schadsoftware namens \u201eRansomvibe\u201d in Erweiterungen f\u00fcr den Quellcode-Editor Visual Studio Code eingebettet wurde. \u201eSobald die Erweiterung aktiviert ist, wird zun\u00e4chst die Funktion zipUploadAndEcnrypt ausgef\u00fchrt. Diese Funktion wendet alle f\u00fcr Ransomware und Erpressungssoftware typischen Techniken […]<\/p>\n","protected":false},"author":0,"featured_media":5733,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-5732","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5732"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5732"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5732\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/5733"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5732"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5732"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5732"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}