Die Cybersecurity-Firma Socket hat eine besorgniserregende Kampagne aufgedeckt, die Entwickler ins Visier nimmt. Das Angriffscluster umfasst 73 gefälschte VS-Code-Erweiterungen, von denen sechs bereits als aktiv malicious eingestuft wurden. Die übrigen 67 fungieren als sogenannte Sleeper-Packages — zunächst harmlos erscheinende Extensions, die Nutzer herunterladen und installieren, um später durch Updates mit Schadsoftware infiziert zu werden.
Die Täuschungstaktik ist raffiniert: Die Angreiter kopieren nicht nur die Namen legitimer Erweiterungen (mit typischen Tippfehlern), sondern auch deren Icons und Beschreibungen. Dies erzeugt eine visuelle Vertrauensbasis, die Entwickler dazu verleitet, die Extensions zu installieren. Alle 73 Packages wurden Anfang Dezember veröffentlicht. Socket verfolgt insgesamt über 320 verdächtige Artefakte seit dem 21. Dezember 2025.
Die Angreiter haben ihre Techniken inzwischen weiterentwickelt. Sie setzen auf Zig-basierte Dropper ein, um sekundäre VSIX-Erweiterungen von GitHub zu laden. Diese bösartigen Extensions können alle integrierten Entwicklungsumgebungen (IDEs) auf dem System infiltrieren — nicht nur VS Code, sondern auch Cursor, Windsurf und VSCodium. Die Malware nutzt dazu das Kommando “–install-extension”, um sich systemweit zu verbreiten.
Das finale Ziel der Kampagne ist ambitioniert: Die GlassWorm v2-Malware soll russische Systeme vermeiden, sensible Daten stehlen, einen Remote-Access-Trojaner (RAT) installieren und eine bösartige Chromium-basierte Browser-Erweiterung einschleusen, die Anmeldedaten, Lesezeichen und andere vertrauliche Informationen abgreift.
Für deutsche Entwickler und Unternehmen sollte dies ein Weckruf sein: Das Herunterladen von Extensions aus öffentlichen Repositories birgt erhebliche Risiken. Eine umfassende Überprüfung bereits installierter VS-Code-Erweiterungen sowie strikte Download-Richtlinien sind dringend erforderlich. Betroffen Unternehmen sollten zudem prüfen, ob DSGVO-Meldepflichten bei Datenlecks bestehen.