Gefahr für Softwareentwicklung

Forscher warnen vor bösartigen Visual-Studio-Code-Erweiterungen

Angreifer könnten beliebte Visual-Studio-Code-Erweiterungen fälschen und Entwickler dazu verleiten, sie herunterzuladen.
Von 
CSO | 23. Januar 2023 11:55 Uhr
Hacker könnten ihre Malware als Visual-Studio-Code-Erweiterung ausgeben, damit Entwickler sie herunterladen.
Hacker könnten ihre Malware als Visual-Studio-Code-Erweiterung ausgeben, damit Entwickler sie herunterladen.
Foto: KsanaGraphica - shutterstock.com

Können Entwickler den heruntergeladenen Erweiterungen für Microsofts beliebten Quelltext-Editor Visual Studio Code (VS Code) vertrauen? Forscher von Aqua Nautilus haben herausgefunden, dass es leicht passieren kann, dass Angreifer Malware als VS Code ausgeben und unwissende Entwickler sie herunterladen. Einige Erweiterungen könnten bereits ausgenutzt worden sein, warnt Aqua-Sicherheitsforscher Ilay Goldman in einem Blogbeitrag: Es sei schwierig, zwischen bösartigen und gutartigen Erweiterungen zu unterscheiden.

Die Gefahr bei Visual-Studio-Code-Erweiterungen

"Bei Visual Studio Code laufen alle Erweiterungen mit den Rechten des Benutzers, der den Code ohne Sandbox geöffnet hat. Das bedeutet, dass die Erweiterung jedes Programm auf Ihrem Computer installieren kann, einschließlich Ransomware, Wiper und mehr.", erklärt der Sicherheitsexperte. Angreifer könnten auf den gesamten Code des Nutzers zugreifen und ihn sogar ändern. Dabei könnten sie die SSH-Schlüssel des Opfers verwenden, um den Code in allen Repositories des Unternehmens in GitHub zu ändern.

VS-Code-Erweiterungen, die von der Unterstützung der Sprache Python bis hin zur Bearbeitung von JSON-Dateien reichen, können vom Visual Studio Code Marketplace von Microsoft heruntergeladen werden. Aqua Nautilus lud eine Erweiterung hoch, die sich als Prettier Code Formatter ausgab und in weniger als 48 Stunden mehr als 1.000 Installationen aus der ganzen Welt verzeichnete. Die gefälschte Erweiterung ist inzwischen entfernt worden.

Schutzmaßnahmen

Goldman merkte an, dass der Visual Studio Code Marketplace für jede neue Erweiterung und nachfolgende Updates einen Virenscan durchführt und bösartige Erweiterungen entfernt, wenn er sie findet. Benutzer können zudem verdächtig aussehende Erweiterungen über einen Link "Report Abuse" melden.

Microsoft selbst beschreibt die Schutzmaßnahmen für Marketplace folgendermaßen: "Um die Sicherheit und den Schutz unserer Kunden zu gewährleisten, überprüfen wir Erweiterungen auf Viren und Malware, bevor sie auf den Marketplace hochgeladen werden". Zudem werde geprüft, ob eine Erweiterung über ein Marketplace-Zertifikat und eine überprüfbare Signatur verfügt, bevor sie installiert wird. "Um Entscheidungen in Kenntnis der Sachlage zu treffen, empfehlen wir den Verbrauchern, Informationen wie Domain-Verifizierung, Bewertungen und Feedback zu prüfen, um unerwünschte Downloads zu verhindern."

Laut Microsoft wurden Social-Engineering-Techniken eingesetzt, um die Opfer zum Herunterladen einer bösartigen Erweiterung zu bewegen. Visual Studio Code verfüge außerdem über eine Funktion zur Vertrauenswürdigkeit des Arbeitsbereichs, mit der Benutzer entscheiden können, ob Code in einem Projekt oder Ordner vom Editor oder von Erweiterungen ohne ausdrückliche Zustimmung des Benutzers ausgeführt werden kann. Ordner können im eingeschränkten Modus belassen werden, um die Ausführung zu verhindern, wenn der Code nicht vertrauenswürdig ist.

Dennoch betont warnt Goldman, dass die Bedrohung durch bösartige Visual Studio Code-Erweiterungen real ist. "VS-Code-Erweiterungen können auch von NPM heruntergeladen werden, das ebenfalls mit Sicherheitsrisiken behaftet ist", so der Security-Spezialist. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation InfoWorld.

Paul Krill ist Redakteur unserer US-Schwesterpublikation InfoWorld.