KI reduziert Studien- und Bürokratieaufwand
28/01/2026
Die Einführung von KI-Tools durch US-Arbeiter nimmt zu
28/01/2026
Entwickler weltweit stehen vor einem ernsthaften Weckruf, da Sicherheitsforscher zwei beliebte VS Code-Erweiterungen aufdecken, die heimlich sensiblen Code gestohlen und Anmeldedaten erbeutet haben. Die Erweiterungen namens “ChatGPT , 中文版” und “ChatMoss” sahen wie hilfreiche KI-Programmierassistenten aus, sendeten aber heimlich private Arbeit an entfernte Server. Mit über 1,5 Millionen kombinierten Installationen betrifft diese Sicherheitsverletzung unzählige Programmierer, die diesen Tools mit ihren wertvollsten digitalen Vermögenswerten vertraut haben. Zu verstehen, wie genau diese Erweiterungen funktionierten, und welche Schritte vor ähnlichen Bedrohungen schützen, ist jetzt wichtiger denn je.
MaliciousCorgi : 1,5 Millionen Entwickler von gefälschten KI-Programmiererweiterungen betroffen
Eine digitale Falle, die als hilfreiche Software getarnt war, hat über 1,5 Millionen Entwickler gefangen, die dachten, sie würden einfach nur KI-Unterstützung zu ihrem Coding-Arbeitsplatz hinzufügen. Die MaliciousCorgi-Kampagne setzte zwei Erweiterungen ein, die als ChatGPT-Tools beworben wurden und trotz ihrer versteckten Gefahren immer noch zum Download verfügbar sind. Diese bösartigen Erweiterungen funktionierten gut genug, um Verdacht zu vermeiden, sie boten echte Coding-Hilfe, Autovervollständigungsfunktionen und Fehlerkorrekturen, während sie heimlich Dateien an Server in China sendeten. Beide Programme liefen unter verschiedenen Herausgebernamen, teilten aber identische Spionagesysteme. Die Sicherheit der Entwickler erlitt einen massiven Schlag, da die Erweiterungen an der Spitze der Suchergebnisse erschienen und dadurch vertrauenswürdig wirkten. Nutzer stimmten niemals der Datensammlung zu, und die Herausgeber offenbarten ihre Überwachungsaktivitäten nie. Die Erweiterungen erfassten komplette Dateiinhalte beim Öffnen und bei jeder Bearbeitung, die Entwickler an ihrem Code vornahmen.
Überprüfen Sie, ob Sie gerade ChatGPT-中文版 oder ChatMoss verwenden ?
Entwickler sollten jetzt sofort ihr VS Code Extensions-Panel öffnen und nach zwei spezifischen Namen suchen : “ChatGPT , 中文版” veröffentlicht von WhenSunset, und “ChatMoss” oder “CodeMoss” veröffentlicht von zhukunpeng. Diese Extensions sehen wie hilfreiche KI-Coding-Tools aus, aber sie stehlen tatsächlich Code und Anmeldedaten von über 1,5 Millionen Benutzern. Falls eine der beiden in der Liste der installierten Extensions auftaucht, muss sie sofort entfernt werden, um den Datendiebstahl zu stoppen, der im Hintergrund stattfindet. Beide Extensions sind Teil der MaliciousCorgi-Kampagne, die gestohlene Daten an denselben Drittanbieter-Server sendet.
Installierte Erweiterungen identifizieren
Wie kann jemand feststellen, ob diese riskanten Erweiterungen bereits auf seinem Computer installiert sind ? Die Erweiterungsidentifikation beginnt mit dem Öffnen der Erweiterungsansicht von VSCode mit Strg+Umschalt+X. Suchen Sie nach “ChatGPT – 中文版” oder “ChatMoss”, um zu sehen, was erscheint. Überprüfen Sie die Installationsliste nach den Herausgebernamen WhenSunset oder zhukunpeng. Dies sind die verräterischen Anzeichen.
Das Bewusstsein des Nutzers ist hier wichtig. Achten Sie auf unbekannte Symbole in Ihrer Symbolleiste, Programmierassistent-Symbole, die nach kürzlichen Updates erschienen sind. Klicken Sie mit der rechten Maustaste auf eine beliebige Datei im Explorer. Wenn “启动ChatGpt中文版” im Menü erscheint, ist das eine rote Flagge. Öffnen Sie die Befehlspalette mit Strg+Umschalt+P und überprüfen Sie aktive KI-Tools. Achten Sie auf WeChat-Anmeldeaufforderungen oder tägliche Anmeldebildschirme, die kostenlosen GPT-Zugang anbieten. Diese Funktionen zeigen sofort die Anwesenheit der Erweiterungen. Die bösartigen Erweiterungen behaupten, natürlichsprachliche Interaktion für Entwicklungsunterstützung zu ermöglichen, indem sie legitime ChatGPT-Plugins nachahmen, um einer Entdeckung zu entgehen.
Entfernen Sie schädliche Erweiterungen sofort
Stoppen Sie alles und überprüfen Sie sofort Ihr System. Wenn Sie entweder ChatGPT , 中文版 oder ChatMoss installiert haben, sind Ihr Code und Ihre Geheimnisse in Gefahr. Diese bösartigen Software-Pakete geben sich als hilfreiche KI-Tools aus, während sie heimlich alles stehlen, was Sie erstellen. Erweiterungssicherheit ist wichtiger denn je, wenn Entwickler unwissentlich Bedrohungen in ihren Arbeitsbereich einladen.
Hier ist, was Sie sofort tun müssen :
- Öffnen Sie Ihr Erweiterungspanel mit Strg+Umschalt+X und suchen Sie nach den verdächtigen Namen
- Klicken Sie auf den Deinstallieren-Button, sobald Sie eine der Erweiterungen von den Herausgebern WhenSunset oder zhukunpeng entdecken
- Starten Sie VSCode nach der Entfernung vollständig neu, um alle Hintergrundprozesse zu stoppen
Warten Sie keine weitere Minute. Diese Erweiterungen haben bereits über 1,5 Millionen Installationen kompromittiert. Ihre Dateien, Passwörter und proprietärer Code könnten bereits preisgegeben sein. Die Erweiterungen erfassen jede geöffnete Datei und jede vorgenommene Bearbeitung und senden alle Daten ohne Ihre Zustimmung an Server in China. Handeln Sie jetzt, um Ihre Arbeit zu schützen.
Entfernen Sie diese schädlichen Erweiterungen sofort aus VS Code
Wenn eine dieser Erweiterungen in Ihrem VS Code-Setup erscheint, schützt deren sofortige Entfernung Ihre Arbeit und persönlichen Informationen vor weiterer Preisgabe. Der Deinstallationsprozess dauert weniger als eine Minute und erfordert nur wenige Klicks im Erweiterungen-Panel. Nach der Entfernung stellt ein Neustart des Editors sicher, dass alle Spuren des schädlichen Codes auf Ihrem Computer nicht mehr ausgeführt werden.
Die Erweiterungen erfassen jede geöffnete Datei und senden die Daten ohne Wissen oder Zustimmung des Benutzers an Server in China.
Betroffene Erweiterungen jetzt deinstallieren
Entwickler, die eine der beiden bösartigen Erweiterungen installiert haben, müssen diese sofort aus Visual Studio Code entfernen. Erweiterungs-Schwachstellen wie diese zeigen, warum Nutzerbewusstsein so wichtig ist, um Ihre Arbeit zu schützen.
Das müssen Sie sofort tun :
- Öffnen Sie VS Code und klicken Sie auf das Erweiterungen-Symbol in der linken Seitenleiste
- Finden Sie die bösartige Erweiterung in Ihrer Installationsliste und klicken Sie auf das Zahnrad-Symbol
- Wählen Sie “Deinstallieren” und starten Sie VS Code neu, um die Entfernung abzuschließen
Nach der Deinstallation starten Sie Ihren Editor vollständig neu. Das stellt sicher, dass alle Spuren aus Ihrem System verschwinden. Die Erweiterungen arbeiteten still im Hintergrund, daher haben Sie möglicherweise nichts Ungewöhnliches bemerkt. Falls die Erweiterung nach der Deinstallation weiterhin wieder auftaucht, müssen Sie möglicherweise Konfigurationsdateien manuell löschen aus Ihren Benutzerverzeichnissen. Machen Sie sich keine Sorgen, wenn Sie jetzt handeln, schützen Sie Ihren Code und Ihre Projekte für die Zukunft. Ihre Freiheit, sicher zu entwickeln, hängt davon ab, wachsam zu bleiben bezüglich dessen, was Sie installieren.
Vollständigen Entfernungsprozess überprüfen
Das Deinstallieren der Erweiterung stellt nur den ersten Schritt zum Schutz einer Entwicklungsumgebung dar. Entwickler müssen die vollständige Entfernung durch ordnungsgemäße Erweiterungsverwaltungspraktiken überprüfen. Beginnen Sie mit dem Löschen des VS Code-Cache, der Kopien von Erweiterungen auch nach dem Löschen speichert. Greifen Sie auf das Benutzerdatenverzeichnis zu und löschen Sie alle verbleibenden Dateien manuell. Starten Sie den Editor neu, um einen sauberen Zustand zu gewährleisten.
Als nächstes prüfen Sie auf Persistenzmechanismen, die der bösartige Code möglicherweise eingebaut hat. Suchen Sie nach nicht autorisierten Prozessen oder versteckten Dateien in Arbeitsbereichsordnern. Überprüfen Sie Systemprotokolle auf verdächtige Aktivitäten. Erweiterungen, die darauf ausgelegt sind, der Erkennung durch Verschleierung und Markenimitation zu entgehen, können fest codierte Befehle hinterlassen, die auch nach der Entfernung weiterhin Daten sammeln.
Schließlich prüfen Sie Netzwerkverbindungen zu China-basierten Servern wie Zhuge.io oder GrowingIO. Diese Analyse-Domains erhielten gestohlenen Entwicklercode. Die Implementierung starker Sicherheitsprotokolle verhindert zukünftige Kompromittierungen. Überwachen Sie ausgehenden Datenverkehr regelmäßig und beschränken Sie Erweiterungen nur auf verifizierte Herausgeber. Eine vollständige Überprüfung schützt die kreative Freiheit.
Wie diese Erweiterungen Ihren Code in Echtzeit gestohlen haben
Hinter dem freundlichen Gesicht der KI-gestützten Programmierhilfe führten diese Erweiterungen eine stille Operation durch. Jedes Mal, wenn Sie eine Datei öffneten oder ein einziges Zeichen tippten, sprang die Spyware in Aktion. Echtzeitüberwachung erfasste Ihre Arbeit sofort, ohne Warnung oder Erlaubnis zu erbitten.
Der Datenexfiltrationsprozess funktionierte wie ein Uhrwerk :
- Automatische Auslöser : Jedes Dateienöffnen oder Bearbeiten aktivierte sofort den Diebstahlmechanismus
- Base64-Kodierung : Ihr gesamter Quellcode wurde verschlüsselt und für die Übertragung verpackt
- Versteckte Übertragung : Ein unsichtbarer iframe versendete Ihre kodierten Dateien an Server in China
Der Server konnte sogar Befehle senden, die bis zu 50 Workspace-Dateien auf einmal anforderten. Ihre Anmeldedaten, proprietärer Code und Geheimnisse, alles wurde gesammelt, während Sie dachten, Sie würden nur Programmierhilfe erhalten. Die Erweiterungen zielten auf hochsensible Daten ab, einschließlich API-Schlüssel, SSH-Anmeldedaten und Cloud-Infrastrukturkonfigurationen, die Angreifern tiefen Zugang zu Unternehmenssystemen gewähren könnten.
Das versteckte Tracking-System, das Ihre Entwicklungsaktivität profiliert
Diese Erweiterungen haben nicht nur Code gestohlen, sie erstellten detaillierte Profile von jedem Entwickler, der sie installierte. Hinter freundlichen Dashboards, die Programmiergewohnheiten zeigten, verfolgten versteckte Analysesysteme jeden Tastendruck und jedes Projektdetail. Die Tools überwachten, welche Sprachen Entwickler verwendeten, wie lange sie an jeder Datei arbeiteten und sogar Spitzenproduktivitätsstunden durch Heatmaps.
Diese Überwachung verletzte grundlegende Entwickler-Datenschutzprinzipien. Echtzeit-Tracking erfasste hinzugefügte und entfernte Zeilen pro Sitzung und synchronisierte dann alles mit externen Servern. Kontoregistrierungsanforderungen ermöglichten geräteübergreifende Profilierung und erstellten umfassende Dossiers über 1,5 Millionen Entwickler. Einige Tracking-Erweiterungen behaupteten, detaillierte Aktivitätsprotokolle zu führen, während sie Daten in benutzerkontrollierten Repositories speicherten, wodurch der wahre Umfang der Informationssammlung verschleiert wurde.
Die Erweiterungen verglichen individuelle Metriken mit über 700.000 Entwicklern weltweit und erstellten wertvolle Erkenntnisse über Programmiermuster. Was wie hilfreiche Produktivitätsfeatures aussah, diente tatsächlich als ausgeklügelte Datensammelmechanismen, alles verpackt in Behauptungen von Open-Source-Transparenz.
Überprüfen Sie jede VS Code-Erweiterung, bevor Sie sie erneut installieren
Nachdem Entwickler diese Tracking-Systeme in beliebten Entwicklertools entdeckt haben, benötigen sie eine praktische Verteidigungsstrategie. Die Validierung von Erweiterungen und bewährte Sicherheitspraktiken sind nicht kompliziert, sie erfordern nur Aufmerksamkeit vor dem Klick auf Installieren.
Beginnen Sie mit der Überprüfung des blauen Verifikationsabzeichens. Dieses Zeichen bestätigt, dass der Herausgeber den Domain-Besitz nachgewiesen und sechs Monate lang einen guten Stand beibehalten hat. Obwohl es kein perfekter Schutz vor Identitätsbetrug ist, ist es ein starkes Vertrauenssignal.
Als Nächstes untersuchen Sie die Metadaten der Erweiterung sorgfältig :
- Überprüfen Sie das Veröffentlichungsdatum, den Zeitstempel der letzten Aktualisierung und die eindeutige Kennung im Bereich “Weitere Informationen”, diese Details sind schwerer zu fälschen als Anzeigenamen
- Überprüfen Sie den Issue-Tracker, Repository-Link und die Lizenz auf Anzeichen legitimer Unterstützung
- Betrachten Sie Berechtigungsanfragen vor der Installation und hinterfragen Sie alles Übermäßige oder Unzusammenhängende mit dem angegebenen Zweck der Erweiterung
Lesen Sie die Bewertungen und Rezensionen, um Nutzerfeedback einzuschätzen und rote Flaggen aus der Erfahrung der Community mit der Erweiterung zu identifizieren.
Die Begrenzung installierter Erweiterungen reduziert potenzielle Angriffsvektoren erheblich. Wenn Sie verdächtiges Verhalten feststellen, melden Sie es über den Link “Ein Problem melden” im Bereich “Weitere Informationen” der Erweiterung, das Marketplace-Team antwortet innerhalb eines Geschäftstages.
Quellenangabe
- https://www.techradar.com/pro/security/malicious-microsoft-vscode-ai-extensions-might-have-hit-over‑1–5‑million-users
- https://thehackernews.com/2026/01/malicious-vs-code-ai-extensions-with-15.html
- https://community.opentextcybersecurity.com/ai-threats-security-245/malicious-vs-code-ai-extensions-with‑1–5‑million-installs-steal-developer-source-code-363280
- https://www.koi.ai/blog/maliciouscorgi-the-cute-looking-ai-extensions-leaking-code-from‑1–5‑million-developers
- https://www.wiu.edu/cybersecuritycenter/cybernews.php
- https://blog.netmanageit.com/malicious-ai-extensions-on-vscode-marketplace-steal-developer-data/
- https://www.cypro.se/2026/01/26/malicious-vs-code-ai-extensions-with‑1–5‑million-installs-steal-developer-source-code/
- https://www.gblock.app/articles/vscode-malicious-extensions-developer-data
- https://www.bleepingcomputer.com/news/security/malicious-ai-extensions-on-vscode-marketplace-steal-developer-data/
- https://cybernews.com/security/fake-chatgpt-vscode-extensions-compromised-developers/
