Über 70 geklonte Open-VSX-Erweiterungen mit GlassWorm-Malware in Verbindung gebracht

Zusammenfassung

Auf dem Erweiterungsmarktplatz Open VSX sind nach Angaben des Sicherheitsanbieters Socket mehr als 70 Erweiterungen aufgetaucht, die mit der Schadsoftware GlassWorm in Verbindung stehen. Die im April veröffentlichten Pakete sind demnach wahrscheinlich sogenannte Schläfer: Erweiterungen, die zunächst ohne erkennbare Schadfunktion erscheinen und erst über spätere Updates Malware auf die Rechner der Nutzer bringen sollen. Socket identifizierte insgesamt 73 verdächtige Erweiterungen, die populäre Angebote des Marktplatzes kopieren. GlassWorm war erstmals im Oktober 2025 in der Open-VSX-Registry aufgetaucht und ist seither mehrfach wieder aktiv geworden. Die Schadsoftware ist darauf ausgelegt, Zugangsdaten für GitHub, Git und NPM sowie sensible Informationen und Kryptowährung zu stehlen. Bei den nun entdeckten Klonen wurde laut Socket mindestens sechs Erweiterungen bereits aktiviert. Die Pakete imitieren legitime Angebote bis hin zu Symbolen, Namen und Beschreibungen, treten aber unter einem anderen Herausgeber und mit eigener Kennung auf. Damit erzeugen sie nach Einschätzung der Forscher genug visuelles Vertrauen, um Installationen anzulocken, bevor überhaupt Schadcode ins Spiel kommt.

GlassWorm war erstmals im Oktober 2025 in der Open-VSX-Registry sichtbar geworden, und zwar in rund einem Dutzend Erweiterungen, die laut Socket wahrscheinlich tausendfach heruntergeladen wurden. Die Schadsoftware versteckte ihren Code optisch mithilfe von Unicode-Variantenselektoren und nutzte die Solana-Blockchain als Infrastruktur für Befehle und Steuerung (Command and Control).

Ausgelegt ist GlassWorm darauf, Zugangsdaten für GitHub, Git und NPM, sensible Informationen sowie Kryptowährung zu entwenden. Die Schadsoftware breitete sich im November auf weitere Open-Source-Ökosysteme aus und trat im Januar sowie erneut im März wieder in Erscheinung, als sie über 150 Repositories kompromittierte.

Nun hat Socket nach eigenen Angaben 73 verdächtige Erweiterungen identifiziert, die Klone populärer Angebote auf dem Open-VSX-Marktplatz sind. Veröffentlicht wurden sie über neu angelegte GitHub-Konten, die jeweils ein oder zwei öffentliche Repositories mit einem achtstelligen Namensstring aufweisen.

Sämtliche dieser Erweiterungen sind nach Einschätzung von Socket wahrscheinlich Schläfer, die über künftige Updates Schadsoftware ausliefern sollen; mindestens sechs von ihnen wurden bereits aktiviert. „Diese Zahl kann sich ändern, da fortlaufend neue Updates erscheinen, doch das Muster entspricht früheren GlassWorm-Wellen: Geklonte oder imitierende Erweiterungen werden zunächst ohne offensichtliche Schadfracht veröffentlicht und später über den normalen Update-Pfad mit Malware bestückt“, so Socket.

Die Erweiterungen folgen einem klaren Imitationsmuster: Sie spiegeln die legitimen Einträge der kopierten Angebote inklusive Symbolen, Benennung und Beschreibung wider, treten aber unter einem anderen Herausgeber und mit eigener Kennung auf. „Das ist das zentrale Social-Engineering-Muster hinter dem jüngsten GlassWorm-Cluster: Geklonte Einträge erzeugen genug visuelles Vertrauen, um Installationen anzulocken, bevor überhaupt Schadcode eingeführt wird“, merkt Socket an.

Bei der Auslieferung der Malware kombinieren die Erweiterungen bereits zuvor beobachtete Methoden: Manche stützen sich auf mitgelieferte native Binärdateien, darunter Komponenten aus früheren GlassWorm-Angriffen, während andere die Schadfracht von einem entfernten Server nachladen.

„Der Quellcode der Erweiterung allein spiegelt nicht mehr das Verhalten wider, das letztlich ausgeführt wird. Indem der Angreifer kritische Logik aus dem Bereich verlagert, den Werkzeuge üblicherweise prüfen, und sie über mehrere Auslieferungsmechanismen verteilt, erhöht er die Wahrscheinlichkeit, einer Erkennung zu entgehen“, so Socket.

Über 70 geklonte Open-VSX-Erweiterungen mit GlassWorm-Malware in Verbindung gebracht

Ähnliche Artikel

Neueste Artikel