GlassWorm kehrt zurück: 73 getarnte OpenVSX-Erweiterungen werden erst per Update bösartig

Zusammenfassung

Die GlassWorm-Kampagne meldet sich mit einer neuen Welle zurück und nimmt diesmal das OpenVSX-Ökosystem ins Visier. Nach Erkenntnissen des Anwendungssicherheitsunternehmens Socket stehen 73 sogenannte "Schläfer"-Erweiterungen im Zentrum des Angriffs: Sie werden zunächst harmlos hochgeladen und schalten erst nach einem späteren Update auf bösartiges Verhalten um. Bei sechs der Erweiterungen wurde diese Funktion bereits aktiviert; sie liefern Schadcode aus. Die übrigen stuft Socket mit hoher Zuversicht als ruhend oder zumindest verdächtig ein. GlassWorm ist eine fortlaufende Lieferketten-Angriffskampagne, die erstmals im Oktober beobachtet wurde. Anfangs versteckten die Angreifer Schadcode mithilfe unsichtbarer Unicode-Zeichen, um Kryptowährungs-Wallets und Entwickler-Zugangsdaten abzugreifen. Seither hat sich die Kampagne über mehrere Ökosysteme ausgebreitet, darunter GitHub-Repositories, npm-Pakete sowie den Visual Studio Code Marketplace und OpenVSX. Die jüngste Welle ist deshalb relevant, weil sie eine veränderte Vorgehensweise erkennen lässt: Statt den Schadcode direkt in die Erweiterungen einzubetten, schleusen die Angreifer ihn erst über ein nachgelagertes Update ein.

Nach Darstellung von Socket handelt es sich bei den 73 betroffenen Erweiterungen um Klone legitimer Einträge. Sie sind darauf ausgelegt, Entwickler zu täuschen, die nicht über das rein Optische hinaus prüfen. In einem Fall verwendeten die Angreifer dasselbe Symbol wie die echte Erweiterung und übernahmen einen ähnlichen Namen samt Beschreibung. Trotz feiner Unterschiede liegen die entscheidenden Merkmale im Namen des Herausgebers und in der eindeutigen Kennung.

Statt die Schadsoftware selbst mitzubringen, fungieren die Erweiterungen nun als schlanke Ladeprogramme, die den Schadcode über verschiedene Methoden nachladen. Technische Details zur neuesten Payload nannte Socket nicht. Frühere Angriffe der Kampagne zielten darauf ab, Daten von Kryptowährungs-Wallets, Zugangsdaten, Access-Token, SSH-Schlüssel und Daten aus der Entwicklungsumgebung zu stehlen.

“Diese Zahl kann sich ändern, da weiterhin neue Updates auftauchen, doch das Muster deckt sich mit früheren GlassWorm-Wellen”, erklären die Forscher von Socket. Wie sie betonen, sind die Erweiterungen beim ersten Hochladen unbedenklich und liefern die Payload erst zu einem späteren Zeitpunkt aus – wodurch sich die eigentliche Absicht der Angreifer offenbart.

Die neue Strategie steht im Kontrast zu einer Welle in der Mitte des März 2026, die deutlich größeren Umfang hatte und Hunderte Repositories sowie Dutzende Erweiterungen betraf. Operationen dieser Größenordnung können allerdings auffällig sein und zahlreiche Spuren hinterlassen: Mehrere voneinander unabhängige Forschungsteams bemerkten die Aktivität früh und halfen, sie zu blockieren. Die jüngste Welle deutet darauf hin, dass die Angreifer ihr Vorgehen ändern wollen, indem sie harmlose Erweiterungen in nur ein Ökosystem einstellen und die Schadfunktion erst mit einem späteren Update einführen.

Socket hat die vollständige Liste der 73 Erweiterungen veröffentlicht, die der aktuellen GlassWorm-Welle zugerechnet werden. Entwicklern, die eine davon installiert haben, wird empfohlen, sämtliche Geheimnisse zu erneuern und ihre Umgebung zu bereinigen.

GlassWorm kehrt zurück: 73 getarnte OpenVSX-Erweiterungen werden erst per Update bösartig

Ähnliche Artikel

Neueste Artikel