Evelyn Stealer: Neue Malware bedroht Entwickler über VS Code

Ein raffinierter Angriff nutzt bösartige Erweiterungen im Visual Studio Code Marketplace, um Zugangsdaten, Krypto-Wallets und Systeminformationen zu stehlen. Die als „Evelyn Stealer“ bekannte Schadsoftware zielt gezielt auf Softwareentwickler ab – eine hochgefährliche Taktik, da diese oft Zugang zu kritischer Infrastruktur und Quellcode haben.

Angriffsvektor: Trojanisierte VS-Code-Erweiterungen

Der Angriff startet im offiziellen Visual Studio Code Marketplace. Hacker haben dort scheinbar harmlose Erweiterungen platziert, darunter ein Theme namens „BigBlack.bitcoin-black“ und einen angeblichen KI-Assistenten („BigBlack.codo-ai“). Diese Erweiterungen enthalten versteckte Skripte, die nach der Installation durch ahnungslose Entwickler aktiv werden. Die Angreifer missbrauchen so das Vertrauen in das VS-Code-Ökosystem und verwandeln ein essenzielles Entwicklungswerkzeug in ein Einfallstor.

Mehrstufiger Infektionsprozess täuscht Sicherheitssoftware

Die Kampagne zeichnet sich durch einen ausgeklügelten, mehrstufigen Prozess aus, der die Erkennung erschweren soll. Zunächst wird ein als legitime Komponente getarnter Downloader (z.B. „Lightshot.dll“) auf dem System platziert. Dieser lädt per PowerShell-Befehl eine zweite Nutzlast von einem Remote-Server nach.

Passend zum Thema Entwickler-Sicherheit: Viele Angriffe setzen genau dort an, wo Entwickler Werkzeuge und Erweiterungen blind vertrauen. Der kostenlose E‑Book‑Report “Cyber Security Awareness Trends” erklärt praxisnah, welche Schutzmaßnahmen jetzt wirklich helfen – von einfachen Konfigurationschecks bis zu effektiven Awareness-Maßnahmen für Dev‑Teams. Ideal für Entwickler, IT‑Security und Führungskräfte, die ohne hohe Investitionen die Abwehr stärken wollen. Jetzt kostenlosen Cyber‑Security‑Report sichern

Diese zweite Stufe ist ein Injector, der eine Technik namens Process Hollowing nutzt. Dabei wird ein legitimer Windows‑Prozess (wie „grpconv.exe“) in einem angehaltenen Zustand erzeugt. Sein Speicher wird dann durch den finalen Schadcode – den Evelyn Stealer – ersetzt und der Prozess fortgesetzt. Die Malware läuft so unter der Maske eines vertrauenswürdigen Systemprozesses.

Umfassende Datenerfassung trifft Entwickler hart

Einmal aktiv, beginnt der Evelyn Stealer mit der systematischen Erfassung sensibler Daten. Hauptziele sind:
* Zugangsdaten und Cookies aus Browsern wie Chrome und Edge für Session-Hijacking.
* Daten aus Kryptowährungs-Wallets.
* Screenshots, Clipboard-Inhalte und detaillierte Systeminformationen.

Die erbeuteten Daten werden in ein ZIP-Archiv gepackt und per FTP an einen Command-and-Control-Server der Angreifer übertragen. Um die Datenerfassung nicht zu stören, kann die Malware sogar aktive Browserprozesse beenden.

Entwickler im Fadenkreuz: Warum sie so wertvoll sind

Diese Kampagne unterstreicht einen besorgniserregenden Trend: Cyberkriminelle sehen Entwickler zunehmend als hochwertige Ziele. Sie besitzen oft privilegierte Zugänge – die sprichwörtlichen „Schlüssel zum Königreich“ – wie API-Keys, Zugang zu Source-Code-Repositories und Cloud-Umgebungen. Die Kompromittierung eines einzigen Entwickler-Arbeitsplatzes kann als Sprungbrett für weitreichendere Angriffe auf das gesamte Unternehmensnetzwerk dienen.

Die Malware verfügt zudem über fortschrittliche Verschleierungstechniken, wie die Erkennung von virtuellen Maschinen oder Debuggern, was auf versierte Angreifer hindeutet.

Schutzmaßnahmen: Vorsicht und Zero-Trust sind Pflicht

Die Bedrohung durch bösartige IDE-Erweiterungen wird voraussichtlich zunehmen. Experten raten zu folgenden Maßnahmen:
* Für Entwickler: Extreme Vorsicht bei der Installation von Erweiterungen. Immer Herkunft und Publisher prüfen. Regelmäßig installierte Erweiterungen und deren Berechtigungen kontrollieren.
* Für Unternehmen: Zero-Trust-Ansätze und strenge Freigabeprozesse für Drittanbieter-Tools etablieren. Robuste Endpoint Detection and Response (EDR)-Lösungen können anomales Verhalten wie verdächtige PowerShell-Ausführungen erkennen.

Die Sicherheit der Software-Lieferkette ist eine gemeinsame Verantwortung – vom Arbeitsplatz des einzelnen Entwicklers bis zum gesamten Unternehmensnetzwerk.

PS: Sie wollen verhindern, dass eine kompromittierte Entwickler‑Maschine zum Einfallstor für Ihr Netzwerk wird? Der Gratis‑Leitfaden “Cyber Security Awareness Trends” fasst aktuelle Bedrohungen, sinnvolle Schutzmaßnahmen und sofort umsetzbare Checklisten zusammen – inklusive Empfehlungen zu EDR‑Konfiguration, sicheren Developer‑Workflows und Awareness‑Trainings. Ideal, um kurzfristig Risiken zu senken und Compliance‑Anforderungen zu erfüllen. Gratis E‑Book zum Sofortschutz herunterladen