VSCode-Krypto-Erweiterungen stehen vor einer ernsthaften Sicherheitsbedrohung. Cyberkriminelle, die mit einer Gruppe namens WhiteCobra in Verbindung stehen, haben den Visual Studio Code Marketplace und OpenVSX mit bösartigen Erweiterungen überschwemmt, die darauf ausgelegt sind, Kryptowallets, Browserdaten und Anmeldedaten zu stehlen. Diese gefälschten Erweiterungen imitieren legitime Entwickler-Tools und verleiten Nutzer dazu, Malware herunterzuladen, die ihre Systeme kompromittiert.
WhiteCobras Strategie
WhiteCobra veröffentlicht gefälschte Erweiterungen mit Namen und Branding, die seriösen ähneln. Durch das Kopieren von Logos, Beschreibungen und das Aufblähen von Downloadzahlen schafft die Gruppe den Anschein von Legitimität. Nach der Installation laden die Erweiterungen weitere Schadkomponenten herunter, die je nach Betriebssystem variieren.
Unter Windows startet die Erweiterung PowerShell-Befehle, die anschließend Python-Skripte ausführen. Diese laden Shellcode, der LummaStealer installiert – eine bekannte Malware zum Datendiebstahl.
Unter macOS werden bösartige Mach-O-Binärdateien ausgeliefert, um Geräte zu kompromittieren.
Auf ARM-Systemen versuchen maßgeschneiderte Skripte ähnliche Infiltrationstaktiken.
Dieser plattformübergreifende Ansatz stellt sicher, dass eine breite Gruppe von Entwicklern und Kryptonutzern verwundbar bleibt.
Beispiele für bösartige Erweiterungen
Ermittler identifizierten mehrere Erweiterungen, die unter irreführenden Namen hochgeladen wurden:
OpenVSX (Cursor/Windsurf): ChainDevTools.solidity-pro, nomic-fdn.hardhat-solidity, juan-blanco.solidity, Crypto-Extensions.solidity.
VSCode Marketplace: JuanFBlanco.awswhh, ETHFoundry.etherfoundrys, MarcusLockwood.wgbk, ShowSnowcrypto.SnowShoNo.
Diese Nachahmungen zielen auf beliebte Blockchain- und Krypto-Tools ab und sind daher besonders gefährlich für Entwickler, die an Web3-Projekten arbeiten.
Warum es gefährlich ist
VSCode-Krypto-Erweiterungen genießen großes Vertrauen, doch WhiteCobra hat dieses Vertrauen ausgenutzt. Viele Entwickler verlassen sich bei der Auswahl von Tools auf Downloadzahlen, Bewertungen und bekannte Namen. Durch die Manipulation dieser Signale erhöhen Angreifer ihre Chancen auf Infektionen. Sobald die Malware aktiv ist, kann sie Wallets leeren, gespeicherte Browserdaten stehlen und sensible Projektdaten offenlegen.
Wie sich Entwickler schützen können
Um sich gegen solche Bedrohungen zu schützen, sollten Entwickler:
- Erweiterungen nur von verifizierten Herausgebern mit nachweisbarer Historie herunterladen.
- Namen sorgfältig auf Tippfehler oder kleine Abweichungen prüfen.
- Vorsichtig bei neuen Erweiterungen sein, die plötzlich viele Downloads oder Bewertungen erhalten.
- Erweiterungsdateien prüfen, wann immer möglich, um verdächtige Skripte zu identifizieren.
- Endpoint-Schutz und Sandbox-Tools zur zusätzlichen Sicherheit nutzen.
Fazit
Die WhiteCobra-Kampagne verdeutlicht die wachsenden Risiken, die in VSCode-Krypto-Erweiterungen verborgen sind. Sich auf bekannte Namen oder künstlich aufgeblähte Popularitätswerte zu verlassen, kann zu verheerenden Sicherheitsvorfällen führen. Entwickler und Krypto-Enthusiasten müssen wachsam bleiben, Erweiterungsquellen überprüfen und strikte Sicherheitspraktiken anwenden, bevor neue Tools installiert werden.
0 Kommentare zu „VSCode-Krypto-Erweiterungen unter Angriff von WhiteCobra“