GlassWorm v2: 73 gefälschte VS-Code-Erweiterungen im Open-VSX-Repository entdeckt
Automatisiert erstellt von CyberDeutsch
Zusammenfassung
Sicherheitsforscher der Application-Security-Firma Socket haben im Open-VSX-Repository für Microsoft Visual Studio Code (VS Code) dutzende Erweiterungen entdeckt, die zu einer fortlaufenden Datendiebstahl-Kampagne namens GlassWorm gehören. Insgesamt umfasst der Fund 73 Erweiterungen, die als geklonte Versionen legitimer Vorlagen identifiziert wurden. Sechs davon sind bestätigt bösartig, während die übrigen als zunächst harmlose Schläufer-Pakete dienen: Sie sollen Nutzer zum Download bewegen und Vertrauen aufbauen, bevor ihre eigentliche Absicht über ein späteres Update zum Vorschein kommt. Alle Erweiterungen wurden laut Socket zu Beginn des Monats veröffentlicht. Das Unternehmen verfolgt diese jüngste Variante unter der Bezeichnung GlassWorm v2. Seit dem 21. Dezember 2025 wurden insgesamt mehr als 320 Artefakte identifiziert. Die geklonten Schläufer betreiben Typosquatting der Originalnamen — etwa CEINTL.vscode-language-pack-tr gegenüber Emotionkyoseparate.turkish-language-pack — und übernehmen zugleich Symbol und Beschreibung der jeweils legitimen Version, um Entwickler zu täuschen und zur Installation zu verleiten. Dieses „visuelle Vertrauen" wirkt als Social-Engineering-Taktik, die die Installationszahlen organisch steigert, bevor die Pakete vergiftet werden und Schadsoftware an nachgelagerte Nutzer ausliefern.
Nach Angaben von Socket entwickeln die Akteure hinter der Kampagne ihr Vorgehen aktiv weiter. Statt direkt aufzufallen, setzen sie auf Schläufer-Pakete und transitive Abhängigkeiten, um der Erkennung zu entgehen. Parallel dazu nutzen sie in Zig geschriebene Dropper, um eine zweite, auf GitHub gehostete VSIX-Erweiterung auszuliefern, die alle integrierten Entwicklungsumgebungen (IDEs) auf dem Rechner eines Entwicklers infizieren kann.
Die von Socket identifizierten Erweiterungen fungieren dabei lediglich als unauffälliger Loader für die eigentliche Nutzlast. Diese Nutzlast ist eine VSIX-Erweiterung, die von GitHub abgerufen und über den Befehl „–install-extension" in jede auf dem System erkannte IDE installiert wird — darunter VS Code, Cursor, Windsurf und VSCodium.
Unabhängig von der eingesetzten Methode bleibt das Ziel dasselbe: Die Schadsoftware soll russische Systeme aussparen, sensible Daten stehlen, einen Remote-Access-Trojaner (RAT) installieren und unbemerkt eine bösartige Chromium-basierte Browser-Erweiterung einschleusen, die Zugangsdaten, Lesezeichen und weitere Informationen abgreift.
„Dieser Ansatz erzielt dasselbe Ergebnis wie die binärbasierte Variante, hält die Auslieferungslogik aber in verschleiertem JavaScript", erklärte das Unternehmen. „Die Erweiterung agiert als Loader, während die Nutzlast nach der Aktivierung abgerufen und ausgeführt wird."
