Angreifer missbrauchen vertrauenswürdige Entwicklertools, um Quellcode und Geheimnisse zu stehlen

Der Angriff entwickelte sich über zwei miteinander verbundene Kampagnen. In der ersten wurde eine vergiftete Version der weit verbreiteten Console Code-Erweiterung, Version 18.95.0, am 18. Mai 2026 auf den Visual Studio Code Marketplace veröffentlicht.

Die Erweiterung verfügte über mehr als 2,2 Millionen Installationen, was die Reichweite des Angriffs sofort enorm machte. Zu den kompromittierten Geräten gehörte auch eines eines Mitarbeiters, was zu unbefugtem Zugriff und dem Ausspähen 3.800 internen GitHub-Quellcode-Repositorien führte.

Analysten der CISA ermittelten den gesamten Umfang der Bedrohung und veröffentlichten am 28. Mai 2026 eine dringende Warnung, in der darauf hingewiesen wurde, dass Bedrohungsakteure CI/CD-Pipelines, Code-Erweiterungen und Cloud-Umgebungen koordiniert angreifen.

CVE-2026-48027 wurde der bösartigen Erweiterung zugewiesen und in den Katalog der bekannten Schwachstellen (Known Exploited Vulnerabilities) aufgenommen. Dies teilte die CISA in einem Bericht mit