Das Fachportal für Entscheider im Mittelstand
+ + + Themenspecial: Künstliche Intelligenz + + +
Malware tarnt sich als Visual Studio Code-Erweiterung für agentische KI „Windsurf“
Hackerangriff

Malware tarnt sich als Visual Studio Code-Erweiterung für agentische KI „Windsurf“

Porträtfoto von Silviu Stahie, Security-Analyst bei Bitdefender
Am

Malware als Visual-Studio-Code-Support der agentischen KI-DIE Windsurf getarnt. Hacker nutzen zunehmend Angebote für agentische Künstliche Intelligenz, um Nutzer mit hohen IT-Privilegien anzugreifen. Die Angriffe richten sich gezielt gegen Entwickler als attraktive Ziele: Diese verfügen über privilegierte Zugänge, Schlüssel zu den API-Schnittstellen und weitere mächtige Zugangsdaten.

Der Code sucht nach Hinweisen auf russische Zielsysteme und nimmt sie dann von Angriffen aus.

Nach angeblich von Google gesponserten Suchergebnissen rund um den KI-gestützten Codierassistenten Claude Code  von Anthropic, warnen die Bitdefender Labs nun vor einer bösartigen, vermeintlichen Erweiterung der agentischen KI-IDE (Integrated Development Environment) Windsurf.

Malware tarnt sich als R-Erweiterung für Visual Studio Code

Cyberkriminelle tarnen die Malware als angebliche Erweiterung, um die Open-Source-Skript-Sprache R in Visual Studio Code zu unterstützen. Dabei nutzen die Urheber die Namensähnlichkeit mit einer offiziellen, legitimen Erweiterung namens REditorSupport. .

Mehrstufiger NodeJS-Stealer und Nutzung der Solana-Blockchain

Tatsächlich implementiert die Malware allerdings einen mehrstufigen NodeJS Stealer. Als Payload-Infrastruktur nutzen die Angreifer die Solana Blockchain. Der Hacker-Code ruft einen verschlüsselten JavaScript aus Blockchain-Transaktionen ab, weshalb sich das schädliche Tool nur noch schwer entfernen lässt.

Russisch erscheinende Systeme bleiben verschont

Der Code will russische Systeme von einem Angriff ausnehmen. Dafür sucht er auf den angegriffenen Systemen nach Sprachmarkern für das Russische und berücksichtigt die Zeitzonen der Opfer-IT:

  • Suche nach russischen Sprachmarkern auf dem System
  • Analyse der eingestellten Zeitzone des Zielsystems
  • Erkennung von Systemzeiten, die der UTC-Zeit (Greenwich-Standard-Zeit) um zwei bis zehn Stunden voraus sind
  • Automatische Deaktivierung der Malware bei entsprechenden Hinweisen

Tarnmechanismen der Malware: Persistenz und Selbstverschleierung

Die Hacker nutzen eine geplante PowerShell-Aufgabe als Tarnung, um sich einen persistenten Zugang in das Opfernetz zu verschaffen. Der Code entschlüsselt sich erst nach der erfolgten Installation, um so eine Entdeckung zu vermeiden. Um sich weiter zu tarnen, entfernt die Malware nach erlangtem persistentem Zugang die geänderten Registry-Einträge.

  1. Windsurf IDE Extensions drops Malware via Solana Blockchain. www.bitdefender.com/en-us/. Raul Vasile Bucur, Silviu Stahie, 18.03.2026.

Bildnachweis: Depositphotos.com/aetb

Über den Autor

Porträtfoto von Silviu Stahie, Security-Analyst bei Bitdefender

Silviu Stahie Silviu Stahie ist ein Cybersecurity-Experte bei Bitdefender, einem Anbieter für Cybersicherheitslösungen, Er ist spezialisiert auf Bedrohungsanalyse und die Sensibilisierung für digitale Risiken. Zuvor war er fast zwei Jahrzehnte in der Nachrichtenbranche tätig und berichtete über Entwicklungen im Bereich Hardware und Software. www.bitdefender.com/de-de/
Zum Autorenprofil

Das könnte Sie auch interessieren

Hacker
Professionalisierung

Cyberkriminalität: Hacker organisieren sich immer professioneller
Internethacker
Cyber-Kriminalität

ChatGPT wird zum Schweizer Taschenmesser der Hacker
Hacker mit Maske am Laptop
Menschliche Kontrolle wichtig

Cyberkriminelle sind gegenüber KI noch unentschieden

Verwandte Themen:

Kommentare

Kommentar schreiben:

Deine E-Mail-Adresse wird nicht veröffentlicht.

Erhalten Sie jeden Monat die neusten Business-Trends in ihr Postfach!
Newsletter abonnieren
X