Cybersecurityonderzoekers hebben kwaadaardige Visual Studio Code-extensies ontdekt op de officiële Microsoft Marketplace die inloggegevens en andere gevoelige data van ontwikkelaars stalen.
Volgens beveiligingsbedrijf Koi was de malware verborgen in twee VS Code-extensies die zich voordeden als een bitcoin-thema voor donkere modus en een AI-codeerassistent. Na installatie leverden beide extensies een geïnfecteerde versie van de Lightshot-screenshottool, gebundeld met een kwaadaardige DLL.
De spyware verzamelde onder andere inhoud van het klembord, wifi-wachtwoorden, geïnstalleerde apps, actieve processen, gedetailleerde systeeminformatie en nam zelfs schermafbeeldingen van het bureaublad. Ook werden Chrome en Edge in ‘headless mode’ geopend om browsercookies te stelen — wat aanvallers in staat stelt actieve sessies over te nemen.
“Jouw code, je e-mails, je Slack-berichten – wat jij ziet, zien zij ook,” waarschuwden onderzoekers van Koi.
De AI-assistent versterkte de misleiding door echte functies aan te bieden, zoals integratie met ChatGPT of DeepSeek binnen VS Code. Maar binnen die code zat een infostealer verstopt, inclusief opmerkingen van de aanvaller die het kwaadaardige gedeelte markeerden.
Microsoft heeft de volgende extensies inmiddels van de Marketplace verwijderd (op 5 en 8 december):
- BigBlack.bitcoin-black
- BigBlack.codo-ai
- BigBlack.mrbigblacktheme
Twee van deze extensies waren al gedownload vóór de verwijdering.
Onderzoekers benadrukken dat VS Code-thema’s nooit scripts zouden mogen uitvoeren, wat dit incident tot een belangrijke waarschuwing maakt om voorzichtig te zijn — zelfs bij het installeren van extensies van officiële bronnen.
Kwaadaardige apps, plug-ins en extensies hebben al vaker hun weg gevonden naar officiële digitale platforms. Eerder meldden we al over gehackte Chrome-extensies, malafide VPN-extensies op de Google Web Store, en talloze schadelijke apps in officiële appstores. Dit benadrukt de aanhoudende kwetsbaarheid van officiële marktplaatsen voor kwaadaardige apps en extensies.
