Auf Microsoft’s Visual Studio Code Marketplace wurden erneut zwei bösartige, als KI-basierte Programmierassistenten getarnte, Erweiterungen entdeckt. Zusammen kommen sie auf rund 1,5 Mio. Installationen.
Die Add-ons sind Teil einer Kampagne namens „MaliciousCorgi“ und liefern, nach Informationen von Koi Security, zwar die versprochenen Funktionen, exfiltrieren aber parallel Entwicklerdaten. Dazu werden drei verschiedene Mechanismen verwendet: Der erste liest Dateien nach dem Öffnen vollständig aus und sendet deren Inhalt Base64-kodiert an eine externe Webview, die einen versteckten Tracking-iframe enthält. Der zweite Mechanismus zieht, mithilfe eines servergesteuerten Befehls, zusätzlich bis zu 50 Dateien aus dem Workspace. Darüber hinaus werden Nutzerprofile mithilfe von vier kommerziellen Analyse-SDKs erstellt, die über ein Zero-Pixel-iFrame geladen werden.
Nutzer sollten die Erweiterungen umgehend deinstallieren und gegebenenfalls Secrets ändern.
Was jetzt zu tun ist:
- Erweiterungen umgehend deinstallieren
- ggf. Secrets betroffener Workspaces aktualisieren
