Visual-Studio-Malware: Supply-Chain-Angriff zielt auf Entwickler
Veröffentlicht: 11.07.2026 um 15:13 Uhr, Redaktion boerse-global.de
Sicherheitsforscher von Doctor Web haben eine mehrstufige Malware-Kampagne identifiziert, die gezielt C++- und C#-Entwickler ins Visier nimmt. Der Clou: Die Angreifer infizieren Visual-Studio-Projektdateien und schaffen so einen Supply-Chain-Angriff, der sich über die gesamte Software-Lieferkette ausbreiten kann.
So funktioniert der Angriff
Die Malware manipuliert gezielt Entwicklungsdateien im .vcxproj- und .csproj-Format sowie Quellcode wie imgui_impl_win32.cpp. Die Forscher beobachteten die Bedrohung erstmals im vierten Quartal 2025. Indem die Angreifer schädliche Pre-Build-Ereignisse in die Projektdateien einschleusen, wird die Malware bereits während des normalen Entwicklungsprozesses ausgeführt – noch bevor der eigentliche Code kompiliert wird.
Die erste Infektionsstufe nutzt Komponenten mit den Bezeichnungen Trojan.DownLoader49.35384 und Python.Downloader.255. Diese Werkzeuge setzen auf raffinierte technische Tricks: Sie durchsuchen den Process Environment Block (PEB) und manipulieren initterm-Funktionstabellen, um einen PowerShell-basierten Schadcode zu starten. Dieser dient als Einfallstor für alle weiteren Angriffsschritte.
Versteckte Kommunikation über GitHub und Steam
Nach der Erstinfektion lädt die Malware eine zweite Stufe herunter: Trojan.DownLoader49.35687. Diese Komponente erzeugt ein Mutex-Objekt namens Global\PFNMX, um ihre Präsenz im System zu koordinieren.
Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Kostenlosen Cyber-Security-Report herunterladen
Besonders raffiniert: Die Schadsoftware vermeidet fest einprogrammierte Server-Adressen für die Kommando- und Kontrollzentrale (C2). Stattdessen bezieht sie ihre Befehle von öffentlichen Plattformen wie GitHub und Steam. Die Angreifer können so ihre Infrastruktur jederzeit aktualisieren, ohne den Code auf den infizierten Rechnern ändern zu müssen.
Was die Hintertür alles kann
Die finale Angriffsstufe setzt BackDoor.Siggen2.5906 ein – eine Hintertür, die sich durch Überschreiben vorhandener DLL-Dateien dauerhaft im System einnistet. Das Schadprogramm verfügt über ein breites Spektrum an Spionage- und Diebstahlfunktionen:
- Discord-Tokens und Browser-Zugangsdaten werden abgegriffen
- Kryptowährungs-Wallets werden geleert
- Ein Clipboard-Hijacker fängt sensible Zwischenablage-Inhalte ab
- Cryptominer wie XMRig, T-Rex und TeamRedMiner werden installiert
Immer mehr Unternehmen werden Opfer von raffinierten Cyberangriffen – diese Experten-Checkliste hilft Ihnen, es zu verhindern. Erfahren Sie im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Gratis-Ratgeber für IT-Sicherheit sichern
Doch damit nicht genug: Der Trojaner fungiert auch als Datei-Infektor. Er sucht systematisch nach weiteren Entwicklungsprojekten auf dem befallenen System und kompromittiert sie – der Angriffskreis schließt sich, und die Malware verbreitet sich weiter.
Gefahr für die gesamte Lieferkette
Für Unternehmen, die auf Visual Studio setzen – und das sind in Deutschland zahlreiche Software-Schmieden – ist diese Kampagne eine ernste Warnung. Ein einziger infizierter Entwicklerrechner kann ausreichen, um Schadcode in scheinbar vertrauenswürge Softwarepakete einzuschleusen. Die eigentliche Gefahr liegt nicht im Einzelfall, sondern in der Kettenreaktion: Kunden und Partner, die die kompromittierte Software installieren, werden selbst zu Opfern.
Sicherheitsexperten empfehlen Entwicklerteams dringend, ihre Build-Umgebungen auf ungewöhnliche Pre-Build-Ereignisse zu prüfen und den Zugriff auf Projektdateien streng zu kontrollieren. Auch die Überwachung ungewöhnlicher Netzwerkverbindungen zu öffentlichen Plattformen kann helfen, solche Angriffe frühzeitig zu erkennen.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
