Ransomware-Testballon im offiziellen Marktplatz von Visual Studio Code entdeckt

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Das auf Software Supply Chain Security ausgerichtete Unternehmen ReversingLabs hat zwei Extensions mit Schadcode im offiziellen Marktplatz von Visual Studio Code entdeckt. Offenbar konnten die Erweiterungen die automatischen Sicherheitschecks von Microsoft umgehen.

Beide fanden sich einige Zeit im Marktplatz, kommen aber nur auf Downloadzahlen im einstelligen Bereich. Die Erweiterungen stammen vom ahban und heißen shiba und cychelloworld.

Testballon für Ransomware-Attacke über Visual Studio Code?

Die schädlichen Erweiterungen prüfen zunächst, ob sie unter Windows laufen und führen dort einen PowerShell-Befehl aus, der ein PowerShell-Skript mit dem eigentlichen Schadcode von einem Command-and-Control-Server (C2) nachlädt und ausführt.

Ein Blick auf den Schadcode legt die Vermutung nahe, dass es sich um einen Testballon für einen echten Ransomware-Angriff handelt. Der Code verschlüsselt lediglich Dateien in einem speziellen Unterverzeichnis für Testzwecke: C:\users\%username%\Desktop\testShiba.

Anschließend gibt das Skript eine für Ransomware typische Warnung aus: "Your files have been encrypted. Pay 1 ShibaCoin to ShibaWallet to recover them."

Keine akute Gefahr, aber Proof of Concept

Die inzwischen aus dem Marktplatz entfernten Extensions sind aufgrund der reinen Testfunktion und wegen der geringen Downloadzahlen keine konkrete Gefahr. Sie zeigen aber, dass es möglich ist, für echte Angriffe die Sicherheitsmechanismen von Microsofts VS-Code-Marktplatz zu umgehen.

Weitere Details inklusive des Codes, der auf den C2-Server zugreift, finden sich in den Bluesky-Skeets von ReversingLabs.

(rme)