NERDMANTrojaner kapert VS-Code-Plugin mit 2 Millionen Downloads
Entwickler aufgepasst: Eine populäre VS-Code-Erweiterung wurde gekapert und klaut jetzt eure Passwörter. Supply-Chain-Angriff der übelsten Sorte.
Was konkret passiert ist
Angreifer haben sich Zugriff auf die Nx-Console-Erweiterung (Registrierungsname: `rwl.angular-console`) im offiziellen Microsoft VS Code Marketplace verschafft. Über ein kompromittiertes Update schleusten sie Schadcode ein. Ziel: Passwörter und Credentials direkt vom Entwickler-Rechner abgreifen.
Die Zahlen zum Vorfall
- 2 Mio.+** — Downloads der betroffenen Extension
- 1** — offizieller Marketplace (Microsoft VS Code) als Einfallstor
- 0** — Warnungen vorab für Nutzer
Warum das richtig wehtut
Wer als Entwickler arbeitet, hat auf seinem Rechner alles: SSH-Keys, API-Tokens, Datenbank-Zugänge, Cloud-Credentials. Ein einziges infiziertes Plugin reicht, um ganze Firmen-Infrastrukturen zu kompromittieren. Lieferkettenangriffe über IDEs sind der Albtraum jedes CISO.
So schützt ihr euch jetzt
- Sofort prüfen:** Ist `rwl.angular-console` installiert? Deinstallieren.
- Passwörter rotieren:** Alle Credentials, die in den letzten Wochen am Rechner lagen.
- SSH-Keys neu generieren:** Lieber einmal zu viel als zu wenig.
- Extension-Updates:** Künftig kritisch prüfen, nicht blind durchwinken.
💡 Was das bedeutet
Der VS Code Marketplace ist zum bevorzugten Jagdrevier für Angreifer geworden. Microsoft prüft Extensions nicht annähernd so streng wie Apple den App Store. Solange das so bleibt, sind Entwickler-Tools die schwächste Stelle der gesamten Software-Lieferkette.
