MalwareSchwachstellenCyberkriminalität

GlassWorm-Kampagne eskaliert: 72 manipulierte VSX-Erweiterungen als Trojaner für Entwickler

GlassWorm-Kampagne eskaliert: 72 manipulierte VSX-Erweiterungen als Trojaner für Entwickler
Zusammenfassung

Die GlassWorm-Kampagne zeigt eine bedrohliche Eskalation im Bereich der Software-Supply-Chain-Angriffe. Sicherheitsforscher haben nun 72 zusätzliche bösartige Erweiterungen im Open-VSX-Registrierungssystem entdeckt, die gezielt Entwickler ins Visier nehmen. Die Malware tarnt sich als beliebte Entwicklertools wie Linter, Formatierer und KI-Assistenten und nutzt eine raffinierte neue Taktik: Sie missbraucht Erweiterungsabhängigkeiten, um harmlos erscheinende Pakete nachträglich in Malware-Verteilungsvektoren umzuwandeln, nachdem bereits Vertrauen aufgebaut wurde. Deutsche Softwareentwickler, IT-Sicherheitsteams und Unternehmen sind unmittelbar betroffen, da sie regelmäßig auf internationale Extension-Märkte angewiesen sind. Die Gefahr liegt in der Kompromittierung von Entwicklungssystemen, dem Diebstahl von Zugangsdaten, Kryptowallet-Leaks und der möglichen Infiltration von unternehmenseigener Software. Besonders problematisch ist die Verwendung von unsichtbaren Unicode-Zeichen und fortgeschrittener Verschleierung, die herkömmliche Sicherheitsprüfungen umgeht. Dies unterstreicht, wie kritisch eine robuste Überprüfung von Abhängigkeiten und Extensions in der Entwicklungs-Pipeline geworden ist.

Die GlassWorm-Kampagne ist seit Oktober 2025 bekannt, doch die aktuelle Iteration markiert eine deutliche Eskalation. Was die Angreifer besonders clever macht: Sie laden zunächst harmlose Erweiterungen in die Registry hoch, die alle Sicherheitsprüfungen bestehen. Später werden diese Updates manipuliert, um Abhängigkeiten zu malware-verseuchten Paketen einzuführen. Dadurch wird das Vertrauen, das Entwickler bereits in die Extension gesteckt haben, gegen sie selbst gewendet.

Die technische Raffinesse der Kampagne ist bemerkenswert. Die Angreifer nutzen mehrere Ablenkungsmechanismen: Sie führen Checksummen ein, um Systeme mit russischer Lokalisierung zu vermeiden, verwenden versteckte Unicode-Zeichen zum Verschleiern von Malware-Code und rotieren regelmäßig Solana-Wallets zur Umgehung von Erkennungssystemen. Besonders interessant ist die Verwendung von Solana-Blockchain-Transaktionen als sogenannte Dead-Drop-Resolver — eine Methode zur anonymen Kommunikation mit Command-and-Control-Servern, die deutlich schwerer zu blockieren ist als klassische IP-basierte Verbindungen.

Parallel zu den VSX-Attacken haben Forscher des Unternehmens Aikido herausgefunden, dass 151 GitHub-Repositories zwischen dem 3. und 9. März 2026 mit der gleichen Unicode-Injection-Technik infiziert wurden. Besonders perfide: Die Angreifer verwenden offenbar Large Language Models (LLMs), um überzeugend wirkende Deckel-Commits zu generieren. Dokumentations-Updates, Versions-Bumps und Refactorings, die stilistisch konsistent mit dem jeweiligen Projekt wirken, verschleiern die eigentliche Malware.

Zusätzlich warnt Endor Labs vor 88 neuen bösartigen npm-Paketen, die zwischen November 2025 und Februar 2026 über 50 Wegwerf-Accounts hochgeladen wurden. Diese nutzen Remote Dynamic Dependencies (RDD) — eine Technik, bei der Dependencies über HTTP-URLs geladen werden, was Angreifern ermöglicht, Malware nachträglich zu modifizieren, ohne neue Paketversionen zu veröffentlichen.

Für deutsche Entwickler und Unternehmen bedeutet dies: Virenscanner und statische Analysen reichen nicht mehr aus. Die Lieferkette selbst wird zum Angriffsziel. Organisationen sollten ihre Abhängigkeiten kontinuierlich überwachen und auf verdächtige Update-Muster achten.

Ähnliche Artikel