Microsoft Edge und VS Code: Millionen Nutzer Opfer von Spionage-Kampagne

Ein Sieben-Jahres-Angriff erschüttert das Microsoft-Ökosystem: Kriminelle verwandelten vertrauenswürdige Browser-Erweiterungen in Spähwerkzeuge.

Die vergangenen 72 Stunden brachten eine beunruhigende Wahrheit ans Licht: Was Millionen Nutzer jahrelang als harmlose Produktivitätstools nutzten, entpuppte sich als ausgeklügeltes Überwachungssystem. Über 4,3 Millionen Browser sind kompromittiert – und die Angreifer nutzten ausgerechnet die offiziellen Update-Mechanismen als Einfallstor.

Die am Montag und Dienstag veröffentlichten Analysen dokumentieren einen gefährlichen Trend: Cyberkriminelle missbrauchen systematisch die “vertrauenswürdigen” Vertriebskanäle von Microsoft, um herkömmliche Sicherheitssysteme auszuhebeln.

Warum 73 % der Unternehmen auf Cyberangriffe nicht vorbereitet sind – und was Sie dagegen sofort tun können. Gerade Supply‑Chain-Angriffe wie ShadyPanda und Glassworm zeigen, wie Dutzende schädliche Erweiterungen und Entwickler-Tools große Netzwerke kompromittieren können. Das kostenlose E‑Book fasst aktuelle Bedrohungen zusammen, nennt praxiserprobte Schutzmaßnahmen für kleine IT‑Teams und liefert eine Checkliste, mit der Sie sofort Risiken minimieren. Jetzt kostenlosen Cyber-Security-Guide anfordern

Die am Montag und Dienstag veröffentlichten Analysen dokumentieren einen gefährlichen Trend: Cyberkriminelle missbrauchen systematisch die “vertrauenswürdigen” Vertriebskanäle von Microsoft, um herkömmliche Sicherheitssysteme auszuhebeln.

Das Cybersecurity-Unternehmen Koi Security enthüllte am Montag Details einer beispiellosen Spionagekampagne. Die Taktik der Angreifer war so raffiniert wie geduldig: Sie veröffentlichten zunächst vollkommen legitime Erweiterungen für Produktivität und Desktop-Hintergründe, pflegten diese über Jahre hinweg und bauten so Vertrauen sowie eine große Nutzerbasis auf.

Dann schlugen sie zu. Per Update verwandelten sie die Software in Spionageprogramme.

Während Google die identifizierten Erweiterungen rasch aus dem Chrome Web Store entfernte, klaffte bei Microsoft eine kritische Sicherheitslücke: Noch am Montag waren mehrere der schädlichen Programme im Edge Add-ons Store verfügbar. Die Erweiterung “WeTab” allein verzeichnete über drei Millionen Installationen.

“Diese Erweiterungen führen inzwischen stündlich Fernzugriff-Code aus – sie laden und aktivieren beliebigen JavaScript-Code mit vollem Browserzugriff”, warnte ein Koi-Security-Forscher in der Analyse. Die Schadsoftware extrahiert verschlüsselte Browserverläufe, protokolliert Suchanfragen und erbeutet Authentifizierungs-Cookies. Der Datenverkehr führt zu Servern in China.

Microsoft hat bislang keine offizielle Stellungnahme zur Urheberschaft abgegeben, entfernt die identifizierten Erweiterungen jedoch aus dem Marketplace. Nutzer sollten umgehend ihre installierten Edge-Erweiterungen überprüfen – besonders solche, die vor Jahren installiert wurden und kürzlich Updates erhielten.

“Glassworm” greift Entwickler an: Dritte Angriffswelle innerhalb einer Woche

Parallel attackieren Kriminelle die Entwickler-Community. Zwischen dem 1. und 2. Dezember tauchte die dritte Welle der “Glassworm”-Malware im Visual Studio Code Marketplace auf.

Das Muster ähnelt ShadyPanda bedrohlich: Die Angreifer laden schädliche Erweiterungen hoch, die populäre Entwicklerwerkzeuge imitieren. Am Dienstag bestätigte Secure Annex, dass trotz anfänglicher Löschungen etwa zwei Dutzend neue Schadpakete aufgetaucht waren.

Die Masche ist perfide durchdacht. Die gefälschten Erweiterungen verwenden Namen und Symbole, die den Originalen täuschend ähnlich sehen – etwa prettier-vsc statt der offiziellen Prettier-Erweiterung. Der Schadcode wird oft erst nach der Freigabe durch ein Update eingeschleust. Die neuesten Varianten enthalten in Rust programmierte Implantate und nutzen die Solana-Blockchain für ihre Kommando-Infrastruktur – was Abschaltungen massiv erschwert.

“Die Angreifer manipulieren Download-Zahlen, um vertrauenswürdig zu erscheinen”, heißt es im Secure-Annex-Bericht. “Nach der Installation stiehlt die Malware GitHub- und npm-Zugangsdaten und verwandelt den Entwickler-Rechner faktisch in einen Brückenkopf für weitere Supply-Chain-Angriffe.”

Microsoft entfernte am Mittwochmorgen mehrere markierte Erweiterungen, darunter prisma-inc.prisma-studio-assistance. Das rasche Wiederauftauchen neuer Varianten deutet jedoch darauf hin, dass die Kampagne unvermindert weiterläuft.

Kritische Schwachstellen in Teams und Windows 11 KI-Features

Doch damit nicht genug: Zwei weitere gravierende Sicherheitsprobleme in Microsofts Kernprodukten kamen diese Woche ans Licht.

Teams-Gästechat umgeht Sicherheitssysteme
Das Bedrohungsanalyse-Team von F5 Labs deckte am Montag eine kritische Architektur-Lücke in Microsoft Teams auf. Angreifer können den Schutz durch “Defender for Office 365” aushebeln, indem sie die Gästechat-Funktion ausnutzen. Mit kostengünstigen Microsoft-365-Mandanten, bei denen Sicherheitsrichtlinien deaktiviert werden können, versenden sie präparierte .ics-Kalenderdateien an Nutzer in eigentlich geschützten Organisationen. Beim Öffnen können diese Dateien schädliche Skripte ausführen oder Zugangsdaten abgreifen – die Sicherheitsfilter des Empfänger-Mandanten laufen ins Leere.

Windows 11: KI-Agenten als Sicherheitsrisiko
Ebenfalls am Montag warnte Microsoft vor den neuen “experimentellen agentenbasierten Features” in Windows 11 (Build 26220.7262). In einem aktualisierten Support-Dokument räumte das Unternehmen ein, dass diese autonomen KI-Funktionen nicht nur “halluzinieren” können, sondern anfällig für “Cross-Prompt-Injection”-Angriffe sind.

Sicherheitsexperten warnen: Angreifer könnten unsichtbare Befehle in Dokumente oder Websites einbetten. Verarbeitet der KI-Agent diese Inhalte, ließe er sich möglicherweise zu unautorisierten Aktionen verleiten – etwa zur Datenexfiltration oder Malware-Installation, ohne dass der Nutzer davon erfährt.

Das Ende des Vertrauens?

Die Ereignisse der vergangenen Tage markieren einen Paradigmenwechsel in der Cyber-Bedrohungslandschaft. Angreifer versuchen nicht mehr, in Systeme einzubrechen – sie missbrauchen stattdessen jene Tools, denen Nutzer bereits vertrauen.

“ShadyPanda und Glassworm zeigen, dass das ‘App-Store’-Modell keine Sicherheitsgarantie ist”, erklärt Dr. Elena Weber, Cybersecurity-Analystin aus München. “Wenn eine Erweiterung fünf Jahre lang legitim funktioniert und dann per Auto-Update bösartig wird, bricht das fundamentale Vertrauensmodell moderner Software-Verteilung zusammen.”

Für Unternehmen ist das ein Albtraum-Szenario. Herkömmliche Endpoint-Protection-Systeme vertrauen signierten Microsoft-Binärdateien und Browser-Prozessen. Wenn der Browser selbst – via Erweiterung – zum Angreifer wird, versagen diese Abwehrmechanismen.

Besonders beunruhigend ist die gezielte Attacke auf Visual Studio Code. Durch die Kompromittierung von Entwicklern erlangen Angreifer Zugriff auf Quellcode und Produktionsumgebungen – und vergiften potentiell Software, die Millionen nachgelagerte Kunden nutzen.

Was jetzt zu tun ist

IT-Administratoren sollten in den kommenden Tagen eine Flut von Updates und Sicherheitsmeldungen erwarten. Microsoft wird voraussichtlich seine Prüfprozesse für Edge und VS Code Marketplaces grundlegend überarbeiten, um die “verzögerte Update”-Technik von ShadyPanda und Glassworm zu erkennen.

Für den Rest der Woche empfehlen Sicherheitsexperten dringend:

Browser-Erweiterungen auditieren: Management-Richtlinien sollten Erweiterungen auf vorab genehmigte Whitelists beschränken.

VS-Code-Umgebungen verifizieren: Entwickler sollten ihre Systeme nach den spezifischen, von Nextron und Secure Annex identifizierten Schadpaketen durchsuchen.

Teams-Konfigurationen härten: Gästezugriffs-Richtlinien überprüfen und externe Dateiübertragungen wo möglich einschränken.

Die Vorweihnachtszeit naht – eine Phase, die Cyberkriminelle traditionell wegen reduzierter Personalstärken bevorzugen. Wachsamkeit gegenüber diesen “vertrauenswürdigen” Angriffsvektoren ist daher wichtiger denn je.

PS: Kleine, praktikable Maßnahmen verhindern oft den größten Schaden. Unser kostenloses E‑Book “Cyber Security Awareness Trends” fasst die wichtigsten Angriffsvektoren der Saison zusammen, erklärt, wie Sie automatisierte KI‑Risiken und unsichere Erweiterungen erkennen, und liefert sofort umsetzbare Schutzmaßnahmen – ideal für IT‑Leiter und Entscheider mit begrenztem Budget. Gratis E-Book ‘Cyber Security Awareness Trends’ sichern