Hacker verstecken Malware in Open-Source-Tools und IDE-Erweiterungen.
Der allgemeine Glauben, dass "Open Source sicher ist, weil jeder den Code inspizieren kann", ist irreführend. In Wirklichkeit enthalten die meisten Open-Source-Projekte Add-Ons und Komponenten, die überhaupt nicht Open Source sind – und diese verborgenen Teile können leicht Spyware, Malware und Viren enthalten. Einmal installiert, können sie sowohl den Computer des Nutzers als auch die Server, die den sogenannten Open-Source-Code ausführen, übernehmen und Hackern die volle Kontrolle geben, um zu tun, was sie wollen.
Ein neu entdeckter Cyberangriff – eine der ausgeklügeltsten, auf Entwickler ausgerichteten Kampagnen, die in den letzten Jahren zu beobachten waren – missbraucht den täglichen Workflow von Softwareingenieuren.
Sicherheitsunternehmen haben eine bösartige Operation aufgedeckt, bei der Angreifer heimlich Malware in scheinbar harmlose Erweiterungen und Open-Source-Tools einschleusen, die von Zehntausenden von Entwicklern weltweit genutzt werden.
Diese Erweiterungen erscheinen völlig legitim, exfiltrieren jedoch still und heimlich höchst sensible Daten wie Passwörter, WLAN-Zugangsdaten, Authentifizierungstoken, Inhalte der Zwischenablage und sogar Live-Screenshots, die direkt von den Maschinen der Entwickler aufgenommen werden.
KOMPROMITTIERTE VS CODE ERWEITERUNGEN: „BITCOIN BLACK“ UND „CODO AI“
Zwei Visual Studio Code-Erweiterungen wurden bestätigt, die eingebettete bösartige Komponenten enthalten: das _Bitcoin Black_-Theme und ein KI-Assistenz-Tool namens _Codo AI_. Beide Erweiterungen sahen auf dem Marktplatz völlig legitim aus und erfüllten ihre beworbenen Funktionen, was ihnen half, Verdacht zu erregen und weit verbreitet angenommen zu werden.
Sobald installiert, setzten die Erweiterungen eine zusätzliche bösartige Nutzlast in Gang, die kontinuierlich Daten von infizierten Geräten sammelte. Die Bedrohungsakteure waren nicht damit zufrieden, nur Passwörter zu sammeln. Die Malware erfasste Echtzeit-Screenshots der Bildschirme der Entwickler – offenbarte Quellcode, Slack-Diskussionen, Zugangsdaten, interne Dokumentationen und vertrauliche Projektverzeichnisse.
Dieses Maß an Sichtbarkeit ermöglicht es den Angreifern, gesamte Workflows zu kartieren, sensible Architekturen zu verstehen und Organisationen gezielt anzugreifen.
DIE ANGRIFFSTECHNIK: DLL-HIJACKING ALS ÜBERTRAGUNGSFARRT
Die Operation stützte sich auf eine fortgeschrittene Methode, die als DLL-HIJACKING bekannt ist, die die Art und Weise ausnutzt, wie legitime Software Systembibliotheken lädt.
Die Angreifer luden ein echtes, harmloses Screenshot-Tool (Lightshot) auf die Maschine des Opfers herunter und kombinierten es mit einer bösartigen DLL, die denselben Dateinamen trug wie die erwartete Bibliothek des Tools. Als Lightshot gestartet wurde, lud es automatisch die gefälschte DLL des Angreifers. Dies setzte die Ausführung der Malware in Gang, ohne Verdacht zu erregen.
Sicherheitsforscher fanden heraus, dass die Malware folgendes sammelte:
*
Kontinuierliche Screenshots und Daten aus der Zwischenablage
*
WLAN-Passwörter und gespeicherte kabellose Zugangsdaten
*
Browser-Cookies, Authentifizierungstoken und aktive Sitzungen (über Chrome und Edge im Headless-Modus)
*
Informationen über installierte Software, laufende Prozesse und Entwicklungstools
Koi Security berichtet, dass die Angreifer die Operation verbessern und weiterentwickeln und zunehmend "saubere" und harmlos aussehende Skripte verwenden, um sich mit normaler Entwickleraktivität zu vermischen.
DIE KAMPAGNE BREITET SICH ÜBER VS CODE HINAUS AUS
Während die ersten Erkenntnisse in VS Code auftraten, erscheinen nun ähnliche bösartige Injektionen im weiteren Open-Source-Ökosystem:
*
NPM UND GO: Malware-Pakete, die die Namen beliebter, vertrauenswürdiger Bibliotheken imitieren
*
RUST: Eine Bibliothek namens _finch-rust_ gibt sich als wissenschaftliches Berechnungstool aus, lädt jedoch stattdessen eine zusätzliche Malware-Komponente namens _sha-rust_
Dies spiegelt einen direkten Angriff auf die SOFTWARELIEFERKETTE wider – den Vertrauensmechanismus, auf den Entwickler angewiesen sind, wenn sie Pakete, Erweiterungen oder Abhängigkeiten importieren. Durch die Kompromittierung von Werkzeugen, die im Herzen der Softwareentwicklung stehen, erlangen Angreifer privilegierten Zugang zu gesamten Organisationen.
WARUM DIESE BEDROHUNG SO GEFÄHRLICH IST
Ein einzelner Entwickler, der eine harmlos aussehende Erweiterung installiert, kann unwissentlich einen Sicherheitsvorfall im gesamten Unternehmen auslösen:
*
Diebstahl von proprietärem Quellcode
*
Übernahme von GitHub und anderen Cloud-Entwicklungskonten
*
Infektion von CI/CD-Pipelines und Build-Umgebungen
*
Exposition sensibler Kundendaten, Zugangsdaten und interner Architektur
Da Entwicklungsumgebungen designbedingt privilegiert sind – Geheimnisse, Tokens, SSH-Schlüssel und Code enthalten – ist der Durchmesser eines Kompromisses enorm.
Traditionelles statisches Code-Scanning ist unzureichend, um diese Angriffe zu erkennen. Die Erweiterungen selbst erscheinen oft legitim oder enthalten harmlosen Code zusammen mit versteckten Nutzlasten. Was erforderlich ist, ist Echtzeit-Verhaltensüberwachung, die in der Lage ist, anomale Aktionen zu kennzeichnen – wie zum Beispiel eine Theme-Erweiterung, die versucht, auf gespeicherte Passwörter zuzugreifen.
EMPFOHLENE SICHERHEITSMAßNAHMEN FÜR ENTWICKLER UND ORGANISATIONEN
Um die Exposition zu verringern, empfehlen Cyber-Sicherheitsfirmen die folgenden Abwehrmaßnahmen:
*
MULTI-FAKTOR-AUTHENTIFIZIERUNG FÜR ALLE ENTWICKELUNGSKONTEN AKTIVIEREN, einschließlich GitHub, GitLab, Cloud-Anbieter und CI/CD-Tools.
*
DIE IDENTITÄT UND DEN RUF DER ERWEITERUNGSHERSTELLER VOR DER INSTALLATION ÜBERPRÜFEN.
*
ANONYMEN, SCHLECHT BEWERTETEN ODER UNBEKANNTEN PLUGINS AUSWEICHEN – selbst wenn sie harmlos erscheinen.
*
SICHERHEITSTOOLS ADOPTIEREN, DIEVERHALTENSDETEKTION ENTHALTEN, nicht nur statisches Scannen.
*
ALLE KI-GESTEUERTEN ENTWICKLUNGSTOOLS MIT VORSICHT BEHANDELN, insbesondere solche, die erhöhte Systemberechtigungen anfordern.
*
REGELMÄßIGE AUDITS DER ENTWICKLUNGUMGEBUNGEN DURCHFÜHREN, einschließlich Browser-Sitzungen, Geheimnisse, gespeicherte Tokens und installierte Erweiterungen.
Dieser Angriff markiert einen Wendepunkt im cyberkriminellen Handeln, das sich auf Entwickler fokussiert.
Indem Angreifer die Werkzeuge ins Visier nehmen, auf die Entwickler täglich angewiesen sind, erhalten sie beispiellosen Zugang zum globalen Software-Ökosystem. Die Erkenntnisse unterstreichen den dringenden Bedarf an stärkerer Sicherheit in der Lieferkette, rigoroser Überprüfung von Erweiterungen und Verhaltensüberwachung, um die sensibelsten Entwicklungs-Workflows der Welt zu verteidigen.
Sicherheitsunternehmen haben eine bösartige Operation aufgedeckt, bei der Angreifer heimlich Malware in scheinbar harmlose Erweiterungen und Open-Source-Tools einschleusen, die von Zehntausenden von Entwicklern weltweit genutzt werden.
Diese Erweiterungen erscheinen völlig legitim, exfiltrieren jedoch still und heimlich höchst sensible Daten wie Passwörter, WLAN-Zugangsdaten, Authentifizierungstoken, Inhalte der Zwischenablage und sogar Live-Screenshots, die direkt von den Maschinen der Entwickler aufgenommen werden.
KOMPROMITTIERTE VS CODE ERWEITERUNGEN: „BITCOIN BLACK“ UND „CODO AI“
Zwei Visual Studio Code-Erweiterungen wurden bestätigt, die eingebettete bösartige Komponenten enthalten: das _Bitcoin Black_-Theme und ein KI-Assistenz-Tool namens _Codo AI_. Beide Erweiterungen sahen auf dem Marktplatz völlig legitim aus und erfüllten ihre beworbenen Funktionen, was ihnen half, Verdacht zu erregen und weit verbreitet angenommen zu werden.
Sobald installiert, setzten die Erweiterungen eine zusätzliche bösartige Nutzlast in Gang, die kontinuierlich Daten von infizierten Geräten sammelte. Die Bedrohungsakteure waren nicht damit zufrieden, nur Passwörter zu sammeln. Die Malware erfasste Echtzeit-Screenshots der Bildschirme der Entwickler – offenbarte Quellcode, Slack-Diskussionen, Zugangsdaten, interne Dokumentationen und vertrauliche Projektverzeichnisse.
Dieses Maß an Sichtbarkeit ermöglicht es den Angreifern, gesamte Workflows zu kartieren, sensible Architekturen zu verstehen und Organisationen gezielt anzugreifen.
DIE ANGRIFFSTECHNIK: DLL-HIJACKING ALS ÜBERTRAGUNGSFARRT
Die Operation stützte sich auf eine fortgeschrittene Methode, die als DLL-HIJACKING bekannt ist, die die Art und Weise ausnutzt, wie legitime Software Systembibliotheken lädt.
Die Angreifer luden ein echtes, harmloses Screenshot-Tool (Lightshot) auf die Maschine des Opfers herunter und kombinierten es mit einer bösartigen DLL, die denselben Dateinamen trug wie die erwartete Bibliothek des Tools. Als Lightshot gestartet wurde, lud es automatisch die gefälschte DLL des Angreifers. Dies setzte die Ausführung der Malware in Gang, ohne Verdacht zu erregen.
Sicherheitsforscher fanden heraus, dass die Malware folgendes sammelte:
*
Kontinuierliche Screenshots und Daten aus der Zwischenablage
*
WLAN-Passwörter und gespeicherte kabellose Zugangsdaten
*
Browser-Cookies, Authentifizierungstoken und aktive Sitzungen (über Chrome und Edge im Headless-Modus)
*
Informationen über installierte Software, laufende Prozesse und Entwicklungstools
Koi Security berichtet, dass die Angreifer die Operation verbessern und weiterentwickeln und zunehmend "saubere" und harmlos aussehende Skripte verwenden, um sich mit normaler Entwickleraktivität zu vermischen.
DIE KAMPAGNE BREITET SICH ÜBER VS CODE HINAUS AUS
Während die ersten Erkenntnisse in VS Code auftraten, erscheinen nun ähnliche bösartige Injektionen im weiteren Open-Source-Ökosystem:
*
NPM UND GO: Malware-Pakete, die die Namen beliebter, vertrauenswürdiger Bibliotheken imitieren
*
RUST: Eine Bibliothek namens _finch-rust_ gibt sich als wissenschaftliches Berechnungstool aus, lädt jedoch stattdessen eine zusätzliche Malware-Komponente namens _sha-rust_
Dies spiegelt einen direkten Angriff auf die SOFTWARELIEFERKETTE wider – den Vertrauensmechanismus, auf den Entwickler angewiesen sind, wenn sie Pakete, Erweiterungen oder Abhängigkeiten importieren. Durch die Kompromittierung von Werkzeugen, die im Herzen der Softwareentwicklung stehen, erlangen Angreifer privilegierten Zugang zu gesamten Organisationen.
WARUM DIESE BEDROHUNG SO GEFÄHRLICH IST
Ein einzelner Entwickler, der eine harmlos aussehende Erweiterung installiert, kann unwissentlich einen Sicherheitsvorfall im gesamten Unternehmen auslösen:
*
Diebstahl von proprietärem Quellcode
*
Übernahme von GitHub und anderen Cloud-Entwicklungskonten
*
Infektion von CI/CD-Pipelines und Build-Umgebungen
*
Exposition sensibler Kundendaten, Zugangsdaten und interner Architektur
Da Entwicklungsumgebungen designbedingt privilegiert sind – Geheimnisse, Tokens, SSH-Schlüssel und Code enthalten – ist der Durchmesser eines Kompromisses enorm.
Traditionelles statisches Code-Scanning ist unzureichend, um diese Angriffe zu erkennen. Die Erweiterungen selbst erscheinen oft legitim oder enthalten harmlosen Code zusammen mit versteckten Nutzlasten. Was erforderlich ist, ist Echtzeit-Verhaltensüberwachung, die in der Lage ist, anomale Aktionen zu kennzeichnen – wie zum Beispiel eine Theme-Erweiterung, die versucht, auf gespeicherte Passwörter zuzugreifen.
EMPFOHLENE SICHERHEITSMAßNAHMEN FÜR ENTWICKLER UND ORGANISATIONEN
Um die Exposition zu verringern, empfehlen Cyber-Sicherheitsfirmen die folgenden Abwehrmaßnahmen:
*
MULTI-FAKTOR-AUTHENTIFIZIERUNG FÜR ALLE ENTWICKELUNGSKONTEN AKTIVIEREN, einschließlich GitHub, GitLab, Cloud-Anbieter und CI/CD-Tools.
*
DIE IDENTITÄT UND DEN RUF DER ERWEITERUNGSHERSTELLER VOR DER INSTALLATION ÜBERPRÜFEN.
*
ANONYMEN, SCHLECHT BEWERTETEN ODER UNBEKANNTEN PLUGINS AUSWEICHEN – selbst wenn sie harmlos erscheinen.
*
SICHERHEITSTOOLS ADOPTIEREN, DIEVERHALTENSDETEKTION ENTHALTEN, nicht nur statisches Scannen.
*
ALLE KI-GESTEUERTEN ENTWICKLUNGSTOOLS MIT VORSICHT BEHANDELN, insbesondere solche, die erhöhte Systemberechtigungen anfordern.
*
REGELMÄßIGE AUDITS DER ENTWICKLUNGUMGEBUNGEN DURCHFÜHREN, einschließlich Browser-Sitzungen, Geheimnisse, gespeicherte Tokens und installierte Erweiterungen.
Dieser Angriff markiert einen Wendepunkt im cyberkriminellen Handeln, das sich auf Entwickler fokussiert.
Indem Angreifer die Werkzeuge ins Visier nehmen, auf die Entwickler täglich angewiesen sind, erhalten sie beispiellosen Zugang zum globalen Software-Ökosystem. Die Erkenntnisse unterstreichen den dringenden Bedarf an stärkerer Sicherheit in der Lieferkette, rigoroser Überprüfung von Erweiterungen und Verhaltensüberwachung, um die sensibelsten Entwicklungs-Workflows der Welt zu verteidigen.
Translation:
Translated by AI
AI Disclaimer: An advanced artificial intelligence (AI) system generated the content of this page on its own. This innovative technology conducts extensive research from a variety of reliable sources, performs rigorous fact-checking and verification, cleans up and balances biased or manipulated content, and presents a minimal factual summary that is just enough yet essential for you to function as an informed and educated citizen. Please keep in mind, however, that this system is an evolving technology, and as a result, the article may contain accidental inaccuracies or errors. We urge you to help us improve our site by reporting any inaccuracies you find using the "Contact Us" link at the bottom of this page. Your helpful feedback helps us improve our system and deliver more precise content. When you find an article of interest here, please look for the full and extensive coverage of this topic in traditional news sources, as they are written by professional journalists that we try to support, not replace. We appreciate your understanding and assistance.
