Microsoft Visual Studio Code, kurz VS Code, ist zweifellos einer der beliebtesten Code-Editoren weltweit. Seine Flexibilität, Nutzerfreundlichkeit und das umfangreiche Ökosystem von Erweiterungen ermöglichen es Entwicklern, ihre Produktivität zu steigern und ihre Arbeitsumgebung individuell anzupassen. Doch diese Offenheit birgt auch Gefahren. Jüngste Untersuchungen enthüllen, dass eine Reihe populärer VS Code Erweiterungen in Wahrheit Malware beherbergen, die den Computer im Hintergrund für das heimliche Schürfen von Kryptowährungen nutzt – ganz ohne Wissen oder Zustimmung der Nutzer. Die Entdeckung dieser Bedrohung wirft ein Schlaglicht auf bestehende Sicherheitslücken im Verwaltungssystem der VS Code Marketplace und verdeutlicht zugleich die wachsende Gefahr von versteckter Malware in offiziell anmutenden Software-Erweiterungen.
Die betroffenen Erweiterungen wurden im April 2025 veröffentlicht und tragen Namen, die mit legitimen Entwicklerwerkzeugen assoziiert werden, darunter "Discord Rich Comsense for VSCode", "Solidity Compiler" und "Golang Compiler", alle überwiegend unter dem Entwickler Mark H. Diese Erweiterungen verzeichneten bereits Hunderttausende von Downloads, was auf ein erhebliches Verbreitungspotenzial der Schadsoftware hindeutet. Die zugrundeliegende Schadsoftware basiert auf dem bekannten Mining-Tool XMRig, welches typischerweise für das illegale Schürfen von Kryptowährungen wie Monero und Ethereum genutzt wird. Sobald die Erweiterung installiert ist, lädt sie unsichtbar ein PowerShell-Skript aus dem Internet herunter, das tief in das System eingreift. Dieses Skript deaktiviert essenzielle Sicherheitsmechanismen von Windows, erlangt Administratorrechte, richtet sich so ein, dass es auch nach einem Neustart weiterläuft, und installiert schließlich die Mining-Software.
Die Heimlichkeit der Malware zeigt sich besonders in Techniken, die dazu dienen, den Prozess zu tarnen: Dazu gehört das Anlegen von Autostart-Aufgaben mit unauffälligen Namen wie "OneDrivestartup" sowie das Injizieren von Befehlen in die Windows-Registry. Zusätzlich werden wichtige Windows-Dienste wie die Windows-Update-Funktion und Medien-bezogene Prozesse abgeschaltet, um Sicherheitsupdates und Schutzmechanismen zu umgehen. Die Malware fügt zudem ihren eigenen Ordner zu den Ausnahmen von Microsoft Defender hinzu, sodass die Virenschutzsoftware bei der Ausführung nicht eingreift. Sollte die Schadsoftware bei der Ausführung keine ausreichenden Berechtigungen erhalten, versucht sie im nächsten Schritt, diese durch das Nachahmen eines vertrauenswürdigen Systemprozesses und eine sogenannte DLL-Hijacking-Technik zu erlangen. Dabei nutzt die Malware die Schwachstelle in der mlang.
dll, einer Dynamic Link Library von Windows, um Sicherheitsbarrieren zu überwinden und sich mit Systemrechten auszustatten. Diese ausgeklügelten Methoden machen das Entfernen der Schadsoftware besonders schwierig. Die Nutzung des Computers als unbemerkter Schürfer bedeutet gravierende Konsequenzen für den Nutzer. Das Mining belastet Prozessoren und Grafikeinheiten erheblich, was zu einer spürbaren Verlangsamung des Systems führt. Gleichzeitig erhöht sich der Stromverbrauch deutlich, was sowohl die Lebensdauer der Hardware negativ beeinflusst als auch zu höheren Energiekosten führt.
Da die Mining-Aktivität komplett im Hintergrund abläuft, bleiben die meisten Nutzer lange Zeit ahnungslos über die Ursache der Systemverlangsamung und des höheren Stromverbrauchs. Ein weiteres Problem besteht darin, dass die bloße Deinstallation der Erweiterungen nicht ausreicht, um die Malware vollständig zu entfernen. Die komplexe Struktur der Schadsoftware, die sich über verschiedene Systembereiche verteilt, erfordert eine gezielte und manuelle Bereinigung. Zu den notwendigen Maßnahmen gehören das Löschen der Mining-Software, das Entfernen aller angelegten geplanten Aufgaben, das Säubern der Malware-Verzeichnisse und das Zurücksetzen der modifizierten Registry-Einträge. Dies setzt jedoch ein gewisses technisches Verständnis voraus, weshalb betroffene Nutzer häufig auf professionelle Hilfe angewiesen sind.
Die Tatsache, dass Microsoft zum Zeitpunkt der Entdeckung der Malware die schädlichen Erweiterungen noch nicht aus dem Marketplace entfernt hatte, wirft ernsthafte Fragen zur Qualität der Überprüfungsprozesse und Sicherheitskontrollen auf. Entwickler und Nutzer erwarten zu Recht, dass offizielle Plattformen wie der VS Code Marketplace eine sichere Umgebung bieten und vor derartigen Gefahren schützen. Die aktuellen Vorkommnisse legen jedoch offen, dass Betrüger auch in etablierten und meistgenutzten Entwicklerplattformen erfolgreich ihre Schadsoftware verbreiten können. Um sich vor solchen Bedrohungen zu schützen, sollten Nutzer von VS Code und anderen Software-Plattformen generell Vorsicht walten lassen. Die Installation von Erweiterungen sollte nach Möglichkeit nur von bekannten und vertrauenswürdigen Entwicklern erfolgen.
Ein Blick auf Bewertungen und Nutzerfeedback kann ebenfalls Hinweise auf die Seriosität geben, wenngleich auch diese teilweise manipuliert sein können. Regelmäßige Updates des Systems, neben aktueller Antiviren-Software und Sicherheitslösungen, sind unerlässlich, um Malware frühzeitig zu erkennen und zu blockieren. Darüber hinaus ist es ratsam, das eigene System auf ungewöhnliche Aktivitäten zu überwachen, insbesondere auf eine hohe CPU-Auslastung ohne ersichtlichen Grund. Wer unsichere Erweiterungen entdeckt hat, sollte nicht nur die Erweiterungen deinstallieren, sondern auch eine gründliche Systemprüfung durchführen, um etwaige Reste der Malware zu ermitteln und zu entfernen. Die jüngsten Enthüllungen zeigen zudem, wie wichtig es ist, technologische Sicherheitsmaßnahmen kontinuierlich zu verbessern und an neue Bedrohungen anzupassen.
Für Unternehmen und einzelne Entwickler bedeutet dies auch, interne Richtlinien für das Herunterladen und Verwenden von Drittanbieter-Software zu implementieren und dabei ein hohes Bewusstsein für IT-Sicherheit zu fördern. Zusammenfassend stellen die entdeckten Mining-Erweiterungen für VS Code einen kritischen Sicherheitsvorfall dar, der auf die Gefahren durch unzureichend geprüfte Softwarekomponenten hinweist. Entwickler und Nutzer sollten den Vorfall als Warnung verstehen, verstärkt auf die Herkunft und Sicherheit ihrer Entwicklungs-Tools zu achten und ihre Systeme regelmäßig auf schädliche Aktivitäten zu überprüfen. Nur durch eine Kombination aus Wachsamkeit, technischen Schutzmaßnahmen und verbesserter Plattformüberwachung kann die Verbreitung solcher Malware effektiv eingedämmt und zukünftige Schäden vermieden werden.
![Let's learn C: lesson 1 – by Salvatore Sanfilippo [video]](/images/A772CAF8-3737-42E5-8A6B-ABC150A9B692)
