Vibe Coding: Schrott-Ransomware in VS-Code-Marketplace aufgetaucht
Ein Sicherheitsforscher namens John Tuckner hat im Marketplace des weitverbreiteten und von Microsoft entwickelten Code-Editors Visual Studio Code eine Extension entdeckt, die ganz offensichtlich Ransomware-Ambitionen hatte. Warum Microsoft die Veröffentlichung nicht bemerkt und proaktiv unterbunden hat, ist fraglich – zumal der Entwickler aus der Funktionsweise seiner Extension kein Geheimnis gemacht hat.
Details zu seiner Entdeckung präsentiert Tuckner in einem Blogbeitrag(öffnet im neuen Fenster) . Die entdeckte Extension trägt demnach den Namen Susvsex und wurde von Suspublisher18 entwickelt. Ein von Tuckner geteilter Screenshot zeigt, dass die Erweiterung offenkundig ein Test für die Bereitstellung einer Ransomware-Funktionalität war.
Auf der Info-Seite der VS-Code-Extension stand etwa, dass sie automatisch Dateien aus dem Ordner "C:\Users\Public\testing" rekursiv verpackt, nach dem Standard AES-256-CBC verschlüsselt und anschließend auf einen externen Server hochlädt – also im Grunde exakt das, was man von einer Ransomware erwartet. Getriggert werden sollte der Prozess jeweils beim Start von VS Code.
Forscher vermutet KI-Beteiligung
Von einer ausgeklügelten Ransomware kann man bei Susvsex allerdings nicht sprechen. Laut Tuckner gibt es Hinweise darauf, dass die Extension per Vibe Coding, also mithilfe einer KI, entwickelt wurde – bei schlechter Code-Qualität heutzutage ein gängiger Vorwurf . Der Forscher spricht in seinem Blogbeitrag von einer "schlampigen Implementierung" , bei der wohl auch Server-Code im Paket der Erweiterung hinterlassen wurde.
Denkbar ist aber auch, dass lediglich ein anderer Sicherheitsforscher (oder dessen Praktikant) hinter dem Projekt steckt. Das suggeriert auch der Name des Entwicklers und seiner Extension, die beide mit "Sus" beginnen – eine Abkürzung für "suspicious" , zu deutsch "verdächtig" . Ein Angreifer, der tatsächlich Schaden anrichten will, würde dies wohl kaum so offensichtlich machen.
Microsoft erkannte das Risiko nicht
Fraglich bleibt dennoch, warum Microsoft die Veröffentlichung der Extension überhaupt zuließ. Tuckner gibt diesbezüglich zu bedenken, dass es sich theoretisch um eine weitaus gefährlichere Bedrohung hätte handeln können. "Was wäre, wenn sie noch etwas ausgefeilter wäre? Was wäre, wenn sie Powershell-Befehle ausführen und sich lateral bewegen würde?" , so der Forscher.
Tuckner meldete die Extension an das Microsoft Security Response Center (MSRC). Die Antwort(öffnet im neuen Fenster) : "Out of scope" – der Fall wurde einfach geschlossen. Der Marketplace-Support hingegen wollte(öffnet im neuen Fenster) trotz aller Offensichtlichkeiten zunächst weitere Informationen von dem Forscher erhalten, um die gemeldete Extension "besser untersuchen" zu können. Letztendlich wurde Susvsex aber dann doch noch aus dem Marketplace entfernt.