Microsofts VS-Code-Marketplace als Nische für Schrott-Ransomware: Eine Lektion in der Nachlässigkeit
Im weitverbreiteten und von Microsoft entwickelten Code-Editor Visual Studio Code (VS-Code) hat ein Sicherheitsforscher einen schockierenden Fund gestellt. Eine Extension, die unter dem Namen Susvsex veröffentlicht wurde, enthält offensichtlich Ransomware-Kodierung. Warum der Entwickler diese Funktion in seiner Erweiterung integrierte und warum Microsoft sie nicht bemerkt hat, ist fraglich.
Die von John Tuckner entdeckte Extension wird von einem Entwickler namens SusPublisher18 entwickelt. Sie trägt den Namen Susvsex und soll Dateien automatisch verschlüsseln und auf einen externen Server hochladen. Der Prozess sollte beim Start von VS Code ausgelöst werden, genau das, was man von einer Ransomware erwartet.
Tuckner spricht in seinem Blogbeitrag von einer "schlampigen Implementierung", bei der es auch Server-Code im Paket der Erweiterung gibt. Es ist jedoch fraglich, ob diese Extension tatsächlich als Ransomware entwickelt wurde oder ob ein anderer Sicherheitsforscher oder dessen Praktikant hinter dem Projekt steckt. Der Name des Entwicklers und seiner Extension beginnt mit "Sus", eine Abkürzung für "suspicious" oder "verdächtig".
Das Risiko einer solchen Extension ist offensichtlich. Tuckner fragt, warum Microsoft die Veröffentlichung nicht bemerkt hat. Er erwähnt, dass es sich theoretisch um eine weitaus gefährlichere Bedrohung hätte handeln können.
Letztendlich wurde die Extension aus dem Marketplace entfernt. Der Entwickler bestritt jedoch in einem Aussage, dass die Funktionen von Ransomware enthalten sind. Microsofts Antwort auf das Problem war "Out of scope", der Fall wurde einfach geschlossen. Die Erweiterung wurde tatsächlich nach einer ersten Reaktion des Marketplacesupports entfernt.
Die Entdeckung von Susvsex zeigt, dass Microsoft nicht über ein gutes Auge für Sicherheitsrisiken verfügt. Die Nachlässigkeit des Unternehmens ist schockierend und zeigt, dass die Bedrohungen, die im Code-Editor lauern, ernst genommen werden müssen.
Im weitverbreiteten und von Microsoft entwickelten Code-Editor Visual Studio Code (VS-Code) hat ein Sicherheitsforscher einen schockierenden Fund gestellt. Eine Extension, die unter dem Namen Susvsex veröffentlicht wurde, enthält offensichtlich Ransomware-Kodierung. Warum der Entwickler diese Funktion in seiner Erweiterung integrierte und warum Microsoft sie nicht bemerkt hat, ist fraglich.
Die von John Tuckner entdeckte Extension wird von einem Entwickler namens SusPublisher18 entwickelt. Sie trägt den Namen Susvsex und soll Dateien automatisch verschlüsseln und auf einen externen Server hochladen. Der Prozess sollte beim Start von VS Code ausgelöst werden, genau das, was man von einer Ransomware erwartet.
Tuckner spricht in seinem Blogbeitrag von einer "schlampigen Implementierung", bei der es auch Server-Code im Paket der Erweiterung gibt. Es ist jedoch fraglich, ob diese Extension tatsächlich als Ransomware entwickelt wurde oder ob ein anderer Sicherheitsforscher oder dessen Praktikant hinter dem Projekt steckt. Der Name des Entwicklers und seiner Extension beginnt mit "Sus", eine Abkürzung für "suspicious" oder "verdächtig".
Das Risiko einer solchen Extension ist offensichtlich. Tuckner fragt, warum Microsoft die Veröffentlichung nicht bemerkt hat. Er erwähnt, dass es sich theoretisch um eine weitaus gefährlichere Bedrohung hätte handeln können.
Letztendlich wurde die Extension aus dem Marketplace entfernt. Der Entwickler bestritt jedoch in einem Aussage, dass die Funktionen von Ransomware enthalten sind. Microsofts Antwort auf das Problem war "Out of scope", der Fall wurde einfach geschlossen. Die Erweiterung wurde tatsächlich nach einer ersten Reaktion des Marketplacesupports entfernt.
Die Entdeckung von Susvsex zeigt, dass Microsoft nicht über ein gutes Auge für Sicherheitsrisiken verfügt. Die Nachlässigkeit des Unternehmens ist schockierend und zeigt, dass die Bedrohungen, die im Code-Editor lauern, ernst genommen werden müssen.
Ich denke, Microsoft sollte sich mal richtig überlegen, ob es wirklich "Out of scope" ist, wenn eine solche Erweiterung im Marketplace verfügbar ist. Es wäre ja einfach nur vernünftig, ein paar Augen zu haben und die Dinge zu überprüfen, bevor man sie loslässt. 
Die Tatsache, dass es sich um Ransomware handelt, ist ja eigentlich nicht so sehr überraschend, wenn man den Namen "Susvsex" liest... 
Ich meine, wer veröffentlicht schon eine Erweiterung mit Ransomware-Kodierung? Es ist ja einfach nur ein bisschen Schrott... 
Aber hey, zumindest war es nicht sehr clever, es zu verstecken und dann zu sagen, dass es nichts mit Ransomware zu tun hat. Das ist ja fast so albern wie ein Versuch, Kakerake zu spielen! 
. Warum soll sie doch nur alle möglichen Extensions in ihrem Marketplace testen? Es ist ja nicht ihre Schuld, dass es einen total verdächtigen Namen wie Susvsex gibt 
.
Die Tatsache, dass die Entwicklerin diese Extension erstellt hat und das Risiko so groß ist, ist einfach unglücklich. 
Ich würde gerne sehen, was in den Kommentaren steht...