MalwareHackerangriffeSchwachstellen

GlassWorm-Kampagne: 73 manipulierte OpenVSX-Erweiterungen als "Schlafzellen" entdeckt

Von CyberDeutsch Redaktion
GlassWorm-Kampagne: 73 manipulierte OpenVSX-Erweiterungen als "Schlafzellen" entdeckt
Zusammenfassung

Die GlassWorm-Kampagne, eine hartnäckige Supply-Chain-Attacke, ist erneut aktiv und hat das OpenVSX-Ökosystem ins Visier genommen. Sicherheitsforscher haben 73 verdächtige Erweiterungen identifiziert, die als sogenannte "Sleeper"-Extensions konzipiert sind – zunächst harmlose Plugins, die erst nach einem Update bösartig werden. Sechs dieser Erweiterungen wurden bereits aktiviert und verbreiten Malware, während die übrigen als inaktiv oder zumindest verdächtig eingestuft werden. Die Angreifer nutzen dabei eine raffiniertere Strategie: Sie laden zunächst legitim wirkende Klone etablierter Extensions in das OpenVSX-Repository ein und lagern die eigentliche Schadcode-Einschleusung in spätere Updates aus. Diese neue Taktik reduziert die Wahrscheinlichkeit, früh erkannt zu werden. Die Malware zielt historisch auf Crypto-Wallets und Entwickler-Anmeldedaten ab. Für deutsche Entwickler und Unternehmen, die OpenVSX-Erweiterungen nutzen, besteht ein erhebliches Risiko: Eine Installation kompromittierter Extensions könnte zum Diebstahl sensibler Daten wie SSH-Schlüssel, Zugangsdaten oder kryptographischer Wallet-Informationen führen. Betroffene Nutzer sollten sofort alle Geheimnisse rotieren und ihre Entwicklungsumgebungen überprüfen.

Die GlassWorm-Kampagne offenbart eine beunruhigende Eskalation von Supply-Chain-Angriffen. Erstmals im Oktober beobachtet, nutzt die Bedrohung raffinierte Techniken, um sich in verschiedene Entwickler-Ökosysteme einzuschleusen. Die neueste Welle zeigt, dass Angreifer ihre Methodik bewusst anpassen, um Erkennungsmaßnahmen zu umgehen.

Die 73 Erweiterungen im OpenVSX-Ökosystem sind Klone legitimer Software-Erweiterungen. Die Angreifer setzen dabei auf visuelle Ähnlichkeit: identische Icons, vergleichbare Naming-Konventionen und Beschreibungen sollen Entwickler täuschen, die nicht genauer hinschauen. Nur subtile Unterschiede — etwa beim Publisher-Namen oder der eindeutigen Kennung — verraten die Fälschung. Dies stellt eine erhebliche Herausforderung dar, da viele Entwickler unter Zeitdruck arbeiten und solche Details übersehen können.

Das Kernprinzip dieser Kampagne ist simpel, aber wirksam: Die initial hochgeladenen Erweiterungen enthalten keine Malware. Sie fungieren als “Thin Loader” und laden bösartigen Code erst bei späteren Updates nach. Diese zeitliche Entkopplung erschwert die Detektion erheblich, da Sicherheitsprüfungen zum Zeitpunkt des Uploads keinen Schaden feststellen.

Historisch hat GlassWorm mehrere Techniken eingesetzt. Frühe Attacken nutzten unsichtbare Unicode-Zeichen zur Code-Verschleierung. In einer Welle im März 2026 wurden Hunderte GitHub-Repositories und Dutzende Erweiterungen kompromittiert — eine Skalierung, die letztlich zu ihrer Entdeckung führte, da mehrere Sicherheitsteams parallell aktiv wurden.

Die Bedrohung zielt primär auf sensible Entwickler-Assets: Kryptowallet-Daten, API-Token, SSH-Schlüssel und Umgebungsvariablen. Für deutsche Softwareunternehmen und Open-Source-Mitwirkende bedeutet dies erhebliche Risiken. Ein Kompromiss kann nicht nur zu Datendiebstahl führen, sondern auch zu weiterer Malware-Verbreitung, wenn Angreifer die gestohlenen Credentials für weitere Infiltrationen nutzen.

Socket hat die vollständige Liste der 73 verdächtigen Erweiterungen veröffentlicht. Entwickler, die eine dieser Erweiterungen installiert haben, sollten sofort alle Secrets rotieren, Logs prüfen und ihre Entwicklungsumgebungen bereinigen. Das BSI wird voraussichtlich eine Warnung herausgeben. Unternehmen sollten ihre Teams sensibilisieren und regelmäßige Audits von installierten Entwicklungs-Tools durchführen — ein kritischer Punkt in der DSGVO-Compliance.

Ähnliche Artikel