MalwareSupply-Chain-AngriffeCyberkriminalität

Nx Console: Beliebte VS-Code-Erweiterung mit Credential-Stealer kompromittiert

Von CyberDeutsch Redaktion
Nx Console: Beliebte VS-Code-Erweiterung mit Credential-Stealer kompromittiert
Zusammenfassung

Ein Sicherheitsmangel in der beliebten Nx-Console-Erweiterung für Visual Studio Code hat Entwickler weltweit gefährdet. Die kompromittierte Version 18.95.0 der Erweiterung „rwl.angular-console" wurde über den offiziellen Microsoft VS Code Marketplace verbreitet und erreichte über 2,2 Millionen Installationen. Die Malware agierte als mehrstufiger Credential-Stealer, der Entwickler-Geheimnisse ausspähte und deren Zugriffstoken wie npm-, GitHub- und AWS-Credentials abzweite. Besonders beunruhigend ist die Fähigkeit des Schädlings, gestohlene npm-Token zusammen mit gefälschten Signaturzertifikaten zu missbrauchen, um legitim wirkende Pakete in die Softwareversorgungskette einzuschleusen. Die Attacke erfolgte, nachdem die GitHub-Anmeldedaten eines Nx-Entwicklers kompromittiert wurden, was Angreifern Zugriff auf das offizielle Repository verschaffte. Für deutsche Entwickler, die mit VS Code und npm-Paketen arbeiten, ist dies ein kritischer Vorfall: Betroffene sollten sofort auf Version 18.100.0 oder später aktualisieren und alle Anmeldedaten, Token und SSH-Schlüssel rotieren. Das Incident unterstreicht die Verwundbarkeit der Softwareversorgungskette und die Notwendigkeit verstärkter Sicherheitsmaßnahmen in Entwicklungs-Workflows.

Die Compromittierung der Nx-Console-Erweiterung zeigt die Anfälligkeit von Entwickler-Ökosystemen für gezielte Angriffe. Sicherheitsforscher der Firma StepSecurity haben einen mehrstufigen Angriff dokumentiert, bei dem eine 498 KB große, verschleierte Malware-Payload in einen verwaisten Commit des offiziellen GitHub-Repositories nrwl/nx eingeschleust wurde.

Auslöser war laut Herstellerangaben die Kompromittierung eines Entwickler-Rechners, durch den Angreifer GitHub-Zugangsdaten erbeuteten und missbrauchten. Sobald ein Entwickler in VS Code ein Workspace öffnete, wurde die Malware automatisch heruntergeladen und ausgeführt — ohne sichtbare Warnung oder Benutzerinteraktion.

Das Malware-Payload funktioniert nach einem ausgeklügelten Muster: Es installiert zunächst die Bun-JavaScript-Runtime und führt ein verschleiertes Skript aus, das Credentials aus verschiedenen Quellen abzapft — darunter 1Password-Vaults, Anthropic Claude Code-Konfigurationen sowie API-Tokens von npm, GitHub und AWS. Die Daten werden über HTTPS, die GitHub-API und sogar DNS-Tunneling exfiltriert. Auf macOS-Systemen installiert die Malware zusätzlich einen Python-Backdoor, der die GitHub Search API als Befehlskanal missbraucht.

Besonders bemerkenswert ist eine weitere Fähigkeit: Der Malware-Code enthält vollständige Sigstore-Integration mit Fulcio-Zertifikatsausstellung und SLSA-Provenance-Generierung. In Kombination mit gestohlenen npm-OIDC-Tokens könnte ein Angreifer damit nachgelagerte npm-Pakete mit kryptographisch gültigen Provenance-Attesten veröffentlichen — und sie als legitim, verifiziert erscheinen lassen.

Das Nx-Team bestätigte, dass “einige Nutzer” tatsächlich kompromittiert wurden. Als Sofortmaßnahmen empfehlen die Maintainer ein Update auf Version 18.100.0 oder später sowie das sofortige Rotieren aller erreichbaren Credentials: API-Tokens, Secrets, SSH-Keys und Passwörter müssen als kompromittiert betrachtet werden.

Dieser Vorfall ist bereits der zweite Angriff auf das Nx-Ökosystem innerhalb eines Jahres. Im August 2025 waren mehrere npm-Pakete von einer ähnlichen Credential-Stealer-Kampagne (s1ngularity) betroffen. Der aktuelle Angriff zeigt jedoch eine Eskalation: Statt einzelner Pakete wird diesmal eine zentrale Entwicklertools-Erweiterung mit Millionen Nutzern zum Ziel.

Für deutsche Unternehmen und Behörden im Tech-Sektor stellt dies ein erhebliches Risiko dar. Das BSI sollte eine öffentliche Warnung erwägen und Entwickler zur sofortigen Aktualisierung auffordern.

Ähnliche Artikel