MalwareHackerangriffeSchwachstellen

GlassWorm-Kampagne infiziert Entwickler-IDEs mit raffiniertem Zig-Dropper

GlassWorm-Kampagne infiziert Entwickler-IDEs mit raffiniertem Zig-Dropper
Zusammenfassung

Die Cybersicherheitsgemeinde warnt vor einer neuen Variante der GlassWorm-Kampagne, die gezielt Softwareentwickler ins Visier nimmt. Über eine gefälschte VS-Code-Erweiterung namens "specstudio.code-wakatime-activity-tracker", die sich als populäres WakaTime-Tool tarnt, verbreiten Angreifer einen Zig-Dropper, der heimlich alle Entwicklungsumgebungen auf dem betroffenen Computer infiziert. Die Schadsoftware nutzt native Binärdateien, um die JavaScript-Sandbox zu umgehen und mit vollständigen Systemrechten zu operieren. Besonders bemerkenswert ist die Fähigkeit des Malware-Codes, nicht nur VS Code, sondern auch Forks wie VSCodium und KI-gestützte Editoren wie Cursor und Windsurf zu infiltrieren. Anschließend wird eine zweite bösartige Erweiterung installiert, die Daten exfiltriert, einen Remote-Access-Trojaner bereitstellt und schließlich ein passwortstehlendiges Chrome-Plugin aktiviert. Für deutsche Entwickler und IT-Unternehmen stellt dies eine erhebliche Bedrohung dar, da Entwicklermaschinen typischerweise Zugriff auf sensitive Infrastruktur, Quellcode-Repositories und Unternehmensgeheimnisse haben. Die Kampagne unterstreicht die wachsende Gefahr von Supply-Chain-Angriffen durch manipulierte Open-Source-Erweiterungen.

Die Sicherheitsexperten von Aikido Security haben eine neue Variation der GlassWorm-Kampagne dokumentiert, die mit einer bislang unbekannten Technik arbeitet. Die gefälschte Extension “specstudio.code-wakatime-activity-tracker” tarnt sich als WakaTime, ein legitimes Produktivitäts-Tool, das bei Entwicklern beliebt ist. Wie Forscher Ilyas Makari erklärte, handelt es sich um eine besonders raffinierte Anpassung des GlassWorm-Trojaners.

Das Besondere dieser Malware liegt in ihrer Architektur: Statt JavaScript-Code zu nutzen, werden Zig-kompilierte native Binärdateien installiert. Diese Node.js-Native-Addons laden direkt in Node.js Runtime und umgehen damit vollständig die JavaScript-Sandbox-Sicherheitsmechanismen. Auf Windows-Systemen heißt die Datei “win.node”, auf macOS “mac.node”. Diese Binärdateien haben direkten Zugriff auf Betriebssystem-Funktionen.

Sobald die Malware aktiviert wird, beginnt sie systematisch, alle auf dem System vorhandenen IDEs zu ermitteln – nicht nur VS Code oder VS Code Insiders, sondern auch verwandte Programme wie VSCodium, Positron sowie KI-gestützte Coding-Tools. Anschließend lädt sie eine zweite bösartige Extension namens “floktokbok.autoimport” von einem vom Angreifer kontrollierten GitHub-Konto herunter. Diese Extension imitiert ein populäres legitimes Plugin mit über fünf Millionen Installationen.

Die heruntergeladene .VSIX-Datei wird dann heimlich in alle erkannten IDEs installiert – ohne Benutzereinwilligung. Die zweite Stufe der Attacke ist noch gefährlicher: Sie vermeidet gezielt eine Ausführung in Russland, kommuniziert über die Solana-Blockchain, um ihren Command-and-Control-Server zu finden, stiehlt sensible Daten und installiert letztlich einen Remote-Access-Trojan (RAT). Dieser RAT wiederum verteilt einen Information-Stealing-Google-Chrome-Brower-Extension.

Benutzern, die die Malware-Extensions “specstudio.code-wakatime-activity-tracker” oder “floktokbok.autoimport” installiert haben, wird dringend empfohlen, von einer kompletten Systemkompromittierung auszugehen. Alle Passwörter, API-Keys und sonstigen Geheimnisse müssen sofort geändert werden. Die Extension ist bereits aus dem Official Marketplace entfernt worden, dennoch könnten Entwickler, die das Plugin in den letzten Wochen installiert haben, betroffen sein.

Ähnliche Artikel