Anders als frühere GlassWorm-Kampagnen, deren Schläufer-Erweiterungen ruhend blieben oder Schadcode erst später aus externen Quellen nachluden, bringt die neue Welle laut Socket eine zusätzliche Fähigkeit mit: Die Erweiterungen können bösartige Payloads automatisch zu einem späteren Zeitpunkt abrufen und ausführen. Das Forschungsteam wertet dies als neue Taktik zur Tarnung und Verbreitung.
„Einige Varianten setzen auf das Nachladen externer Payloads, andere auf mitgelieferte native Binärdateien, darunter wiederverwendete Installationskomponenten aus früheren GlassWorm-Aktivitäten", so das Forschungsteam. Das durchgängige Muster sei, dass „die Erweiterung selbst nur als dünner Lader fungiert". Der Quellcode der Erweiterung allein spiegele das Verhalten, das letztlich ausgeführt werde, nicht mehr wider. Indem die zentrale Logik aus dem Bereich verlagert werde, den Werkzeuge üblicherweise prüfen, und auf mehrere Auslieferungswege verteilt werde, steigere der Angreifer die Wahrscheinlichkeit, einer Erkennung zu entgehen.
GlassWorm ist eine Familie selbstverbreitender Malware, die erstmals im Oktober 2025 von Forschern bei Koi Security dokumentiert wurde, als sie sich über Open VSX ausbreitete — eine quelloffene Alternative zum Visual Studio Marketplace von Microsoft. Der Name geht auf eine Technik der ursprünglichen Variante zurück, die druckbare Unicode-Zeichen verwendete, die im Code-Editor nicht dargestellt werden und den Schadcode damit praktisch unsichtbar machen.
Wie viele der GlassWorm-Erweiterungen letztlich bösartig werden, bleibt offen. Sie folgen jedoch einem für GlassWorm typischen Muster: zunächst ohne erkennbaren Payload veröffentlicht, dann über den normalen Update-Weg zu Malware umgerüstet. Hinzu kommt ein Nachahmungsmuster: Angreifer klonen legitime Einträge auf Open VSX nahezu exakt — Namen, Symbole, Beschreibungen und sogar README-Inhalte — und ändern nur Feinheiten wie den Herausgebernamen und die eindeutige Kennung. In einem Fall ahmt ein gefälschtes türkisches Sprachpaket die offizielle Version so genau nach, dass die Unterschiede beim flüchtigen Durchsehen leicht zu übersehen sind. Laut Socket bilden diese geklonten Einträge „genug visuelles Vertrauen, um Installationen anzuziehen, bevor überhaupt Malware eingeführt wird".
Idan Dardikman, CTO und Mitgründer von Koi Security, sagte gegenüber Dark Reading, die jüngste Sammlung zeige keine technische Neuerung. Sie belege aber einen reifenden Angreifer, der „dasselbe Drehbuch in größerem Maßstab und mit allen Werkzeugen auf einmal" durchziehe — die Bedrohung durch GlassWorm bestehe also fort.
Socket rät Organisationen zur Vorsicht, deren Entwickler öffentliche Plattformen für geteilten Code nutzen. Vor dem Herunterladen von Code für Produktionsumgebungen sollten sie Faktoren wie Download-Zahlen prüfen und verifizieren, ob das Paket oder die Erweiterung von einem legitimen Nutzer stammt. Im Bericht stellt das Socket-Team zudem eine Liste von Kompromittierungsindikatoren (IoCs) bereit, die sowohl die bestätigten, mit Malware aktivierten Erweiterungen als auch die Schläfer umfasst — ergänzt um IoCs zu nativen Installer-Binärdateien und verschiedenen Payloads.