MalwareHackerangriffeCyberkriminalität

GlassWorm-Malware: 73 gefälschte VSX-Erweiterungen als Schlafzellen identifiziert

Von CyberDeutsch Redaktion
GlassWorm-Malware: 73 gefälschte VSX-Erweiterungen als Schlafzellen identifiziert
Zusammenfassung

Die Open-VSX-Marketplace, ein beliebtes Repository für Visual-Studio-Code-Erweiterungen, ist zum Ziel einer umfangreichen Malware-Kampagne geworden. Sicherheitsforscher von Socket haben über 70 verdächtige Erweiterungen identifiziert, die im April veröffentlicht wurden und als sogenannte Sleeper-Extensions konzipiert sind – harmlos wirkende Programme, die später mit schädlichen Updates aktiviert werden sollen. Diese Erweiterungen stehen in direkter Verbindung mit der GlassWorm-Malware, die seit Oktober 2025 aktiv ist und bereits mehrfach in verschiedenen Open-Source-Ökosystemen aufgetaucht ist. Die Bedrohung nutzt raffinierten Social Engineering: Die bösartigen Erweiterungen sind Klone populärer, legitimer Extensions und täuschen Nutzer durch identische Symbole, Namen und Beschreibungen. GlassWorm wurde ursprünglich entwickelt, um GitHub-, Git- und NPM-Anmeldedaten sowie Kryptowährungen zu stehlen und nutzt die Solana-Blockchain als Kommando-Infrastruktur. Für deutsche Entwickler und Unternehmen stellt diese Kampagne ein erhebliches Risiko dar: Besonders im deutschsprachigen Raum, wo viele Softwareentwickler auf Open VSX angewiesen sind, könnten betroffene Extensions zu unbemerkten Sicherheitsverletzungen führen und sensible Geschäftsdaten gefährden.

Die GlassWorm-Kampagne offenbart eine zunehmend professionalisierte Bedrohungslage für die Open-Source-Community. Das Malware-Netzwerk nutzt eine mehrstufige Angriffsstrategie, die auf Social Engineering und verzögerter Aktivierung basiert.

Die 73 geklonten Erweiterungen folgen einem konsistenten Muster: Sie werden unter neu erstellten GitHub-Konten mit achtstelligen Bezeichnungen publiziert und spiegeln das Erscheinungsbild etablierter VSX-Extensions so authentisch nach, dass Nutzer sie kaum von den Originalen unterscheiden können. Dieses Vorgehen senkt die Hemmschwelle für Downloads erheblich – Vertrauen wird erzeugt, bevor die eigentliche Bedrohung zuschlägt.

Mindestens sechs dieser Schlafzellen sind bereits aktiviert worden und haben Malware-Payloads ausgeliefert. Die restlichen warten offenbar auf den richtigen Moment. Socket warnt, dass diese Erweiterungen nicht länger nur ihre offensichtliche, gescannte Quellcode-Logik ausführen: Durch die Auslagerung kritischer Funktionalität auf externe Quellen und das Einschieben zusätzlicher Malware-Komponenten – teilweise als native Binärdateien – wird Erkennungssoftware systematisch umgangen.

GlassWorm selbst ist nicht neu. Erstmals in Erscheinung trat die Malware bereits im Oktober 2025, wo sie Unicode-Variation-Selektoren verwendete, um ihren Code optisch zu verschleiern, und sich dabei der Solana-Blockchain für Command-and-Control-Infrastruktur bediente. Im November breitete sie sich auf andere Open-Source-Ökosysteme aus, im Januar und März kompromittierte die Malware über 150 Repositories.

Für deutsche Entwickler und IT-Sicherheitsteams ergibt sich eine doppelte Herausforderung: Zum einen müssen sie ihre Entwickler-Workstations und CI/CD-Pipelines schützen, zum anderen ist eine regelmäßige Überprüfung installierter Extensions erforderlich. Unternehmen, die von einer GlassWorm-Infektion betroffen sind und dadurch GitHub- oder NPM-Anmeldedaten kompromittiert werden, müssen dies gemäß DSGVO melden – insbesondere wenn Kundencode oder -daten gefährdet sind. Das BSI empfiehlt, VSX-Marketplace-Installationen zentral zu kontrollieren und nur verifizierte Erweiterungen freizugeben.

Socket geht davon aus, dass weitere Wellen folgen werden. Das Muster ist verlässlich geworden: Klone werden zuerst harmlos publiziert, später aktiviert und dann als reguläre Updates ausgeliefert. Dies macht die Bedrohung besonders tückisch, denn automatische Update-Mechanismen werden zum Angriffsvehikel.

Ähnliche Artikel