Verseuchte KI-Helfer: Wie VS Code-Erweiterungen Quellcode heimlich nach China senden : Beliebte Entwickler-Tools tarnen Spionagefunktionen und gefährden die Software-Lieferkette
Zwei millionenfach installierte Erweiterungen für Microsoft Visual Studio Code geben sich als smarte KI-Helfer aus –leiten aber im Hintergrund Quellcode, Dateien und Nutzungsprofile an Server in China weiter. Entwickler werden so unbemerkt zur ergiebigen Datenquelle für Angreifer.
Viele Entwickler verlassen sich täglich auf smarte Erweiterungen, um schneller und fehlerfreier zu programmieren. Genau dieses Vertrauen haben Angreifer nun ausgenutzt. Sicherheitsforscher von Koi Security entdeckten zwei scheinbar harmlose, KI-gestützte Coding-Assistenten, die in Wirklichkeit umfassende Spionagefunktionen enthalten. Zusammen kommen sie auf mehr als 1,5 Millionen Installationen. Bislang sind sie weiterhin im offiziellen Visual Studio Marketplace verfügbar.
Die betroffenen Erweiterungen sind:
- ChatGPT – 中文版 mit 1.340.869 Installationen
- ChatGPT – ChatMoss (CodeMoss) mit 151.751 Installationen
Besonders gefährlich an der Kampagne mit dem Namen MaliciousCorgi ist, dass die Erweiterungen genau das tun, was sie im Werbetext versprechen – und damit jedes Misstrauen im Keim ersticken: Sie liefern Autovervollständigung, erklären Fehlermeldungen und unterstützen beim Schreiben von Code. „Beide Erweiterungen enthalten identischen Schadcode – nutzen dieselbe Spyware-Infrastruktur, betrieben unter unterschiedlichen Herausgebernamen“, so Sicherheitsforscher Tuval Admoni.
Vollständige Quellcode-Exfiltration im Hintergrund
Der Schadcode liest den kompletten Inhalt jeder geöffneten Datei, kodiert ihn im Base64-Format und überträgt ihn an einen Server in China mit der Adresse aihao123 Punkt cn. Dieser Vorgang wird bei jeder Änderung erneut ausgelöst. Zusätzlich können die Serverbetreiber eine Echtzeitfunktion aktivieren, die bis zu 50 Dateien aus dem Workspace auf einmal abzieht.
Damit nicht genug: In der Webansicht der Erweiterungen ist ein unsichtbares Iframe mit null Pixeln Größe eingebettet. Dieses lädt vier kommerzielle Analyse-Software-Development-Kits, um Geräte eindeutig zu identifizieren und umfangreiche Nutzerprofile zu erstellen. Eingesetzt werden Zhuge Punkt io, GrowingIO, TalkingData und Baidu Analytics – allesamt große Analyseplattformen mit Sitz in China.
PackageGate: Neue Schwachstellen in JavaScript-Paketmanagern
Parallel zu diesem Vorfall entdeckte Koi Security sechs Zero-Day-Schwachstellen in JavaScript-Paketmanagern wie npm, pnpm, vlt und Bun. Die Schwachstellen mit dem Namen PackageGate erlauben es, Sicherheitsmechanismen zu umgehen, die eigentlich die automatische Ausführung von Skripten bei der Paketinstallation verhindern sollen.
Diese Schutzmaßnahmen gelten seit früheren Angriffen als essenziell, insbesondere nach der Shai-Hulud-Kampagne, bei der Postinstall-Skripte genutzt wurden, um sich wurmartig zu verbreiten und npm-Tokens zu stehlen.
Koi Security stellte jedoch fest, dass sich sowohl die Skriptausführung als auch die Integritätsprüfungen der Lockfiles in allen vier Paketmanagern umgehen lassen. Nach einer verantwortungsvollen Offenlegung wurden die Schwachstellen in pnpm ab Version 10.26.0, in vlt ab Version 1.0.0-rc.10 sowie in Bun ab Version 1.3.5 behoben. Pnpm führt die beiden Sicherheitslücken unter den Kennungen CVE-2025-69264 mit einem CVSS-Wert von 8,8 und CVE-2025-69263 mit einem CVSS-Wert von 7,5.
Npm hingegen verzichtet auf eine Behebung und erklärt, Nutzer seien selbst dafür verantwortlich, die installierten Pakete zu prüfen. Auf Nachfrage erklärte ein GitHub-Sprecher, dass das Unternehmen aktiv daran arbeite, das neue Problem zu adressieren, während npm das Paketregister weiterhin automatisch auf Schadsoftware überprüft.
Die unbequeme Realität der Software-Lieferkette
„Wenn ein über Git installiertes Paket ein Prepare-Skript enthält, werden dessen Abhängigkeiten und Entwicklungsabhängigkeiten installiert. Wie bereits bei der Meldung des Problems erläutert, ist dies ein bewusstes Design und verhält sich wie vorgesehen“, so das Unternehmen. „Wenn Nutzer eine Abhängigkeit aus einem Git-Repository installieren, vertrauen sie dem gesamten Inhalt dieses Repositories, einschließlich der Konfigurationsdateien.“
Das zu Microsoft gehörende Unternehmen empfiehlt Projekten außerdem, auf vertrauenswürdige Veröffentlichungsprozesse sowie granulare Zugriffstokens mit verpflichtender Zwei-Faktor-Authentifizierung zu setzen, um die Software-Lieferkette besser abzusichern. Seit September 2025 hat GitHub klassische Legacy-Tokens abgeschafft, die Laufzeit granularer Tokens mit Veröffentlichungsrechten verkürzt und die Möglichkeit entfernt, die Zwei-Faktor-Authentifizierung beim lokalen Veröffentlichen von Paketen zu umgehen.
Doch selbst das reicht nicht aus. Sicherheitsanalyst Oren Yomtov warnt: „Der übliche Rat, Skripte zu deaktivieren und Lockfiles zu committen, ist weiterhin sinnvoll. Aber er zeigt nicht das ganze Bild. Solange PackageGate nicht vollständig gelöst ist, müssen Organisationen ihre Risiken selbst fundiert bewerten.“
Der Fall macht deutlich, wie sich Angriffe verändert haben: Statt auffälliger Schadsoftware nutzen Angreifer heute ganz normale, scheinbar hilfreiche Werkzeuge. Wer programmiert, sollte seine Entwicklungsumgebung deshalb genauso sorgfältig absichern wie produktive Systeme – sonst wird aus nützlicher Unterstützung unbemerkt ein dauerhafter Abfluss sensibler Daten.