Die GlassWorm-Kampagne zeigt ein neues Evolutionsstadium einer Bedrohung, die Sicherheitsexperten bereits seit Oktober 2025 beobachten. Die Malware wurde ursprünglich entdeckt, als sie sich über Open VSX, einem Open-Source-Alternative zu Microsofts Visual Studio Marketplace, verbreitete. Der Name GlassWorm stammt von einer raffinierten Technik: Die Angreifer nutzen druckbare Unicode-Zeichen, die in Code-Editoren unsichtbar bleiben — die Malware ist somit mit bloßem Auge nicht erkennbar.
Raffinierte Infiltrationsmethode
Die neueste Welle demonstriert eine Eskalation der Angriffsstrategie. Bisher nutzten die Angreifer Sleeper-Extensions, die dormant blieben oder externe Payloads nachladeten. Nun können die Extensions Malware automatisch abrufen und ausführen — ein erheblicher technischer Fortschritt bei der Umgehung von Sicherheitstools. Der Quellcode allein offenbart nicht mehr das tatsächliche Verhalten: Kritische Logik wird ausgelagert und auf mehrere Delivery-Mechanismen verteilt. Diese Verschleierung macht Erkennung deutlich schwieriger.
Mindestens sechs der 73 identifizierten Erweiterungen wurden bereits mit Malware aktiviert, die restlichen sind Sleeper oder verdächtig. Die Angreifer nutzen dabei ein ausgefeiltes Social-Engineering-Muster: Sie klonen legitime Listings so genau, dass Unterschiede kaum auffallen. Ein Beispiel ist ein gefälschtes türkisches Sprachpaket, das dem Original zum Verwechseln ähnlich sieht.
Ziel: Credential-Diebstahl im großen Stil
Das primäre Ziel der GlassWorm-Kampagne ist Credential- und Secret-Diebstahl von Entwicklern. Sind diese infiziert, können Angreifer in ihrem Namen vergiftete Code-Versionen veröffentlichen — und so die Infektion in die gesamte Software-Lieferkette tragen. Unternehmen, die diese manipulierten Pakete nutzen, werden Opfer eines Dominoeffekts.
Idan Dardikman, CTO von Koi Security, betont gegenüber Dark Reading, dass die neue GlassWorm-Welle keine technische Innovation darstellt, sondern zeigt, dass eine Bedrohungsgruppe mit reiferen Fähigkeiten “dasselbe Playbook im großen Maßstab ausführt”. Dies unterstreicht die Persistenz und Skalierbarkeit der Kampagne.
Empfehlungen für deutsche Entwickler und Unternehmen
Socket und Sicherheitsexperten raten dringend zu Vorsicht. Entwickler sollten vor dem Download von Code für Produktionsumgebungen Download-Zahlen prüfen und Quellen verifizieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sollte diese Bedrohung als relevant für deutsche kritische Infrastrukturen einstufen. Socket hat zudem eine Liste von Indicators of Compromise (IoCs) veröffentlicht, um betroffene Extensions und Payloads zu identifizieren.