Die Bedrohung durch GlassWorm ist nicht neu, aber ihre Entwicklung besorgniserregend. Das Malware-Ökosystem folgt einer perfiden Strategie: Entwickler laden scheinbar legitime Software-Komponenten herunter, die von GlassWorm infiziert sind. Die Malware stiehlt daraufhin Credentials und sensible Daten, woraufhin Angreifer diese gestohlenen Zugangsdaten nutzen, um ihrerseits vergiftete Versionen von Projekten zu veröffentlichen. Diese infizieren wiederum weitere Entwickler – eine sich selbst verstärkende Infektionskette, die sich exponentiell ausbreitet.
Was die aktuelle Welle besonders gefährlich macht, ist die technische Weiterentwicklung der Malware. Statt bösartige Code direkt in Extensions einzubinden, verstecken die Angreifer ihn nun hinter sogenannten “extensionPack”- und “extensionDependencies”-Deklarationen. Das heißt: Eine installierte Extension sieht auf den ersten Blick völlig harmlos aus, lädt aber im Hintergrund die eigentliche Malware nach. Diese “transitive Loader Delivery” erschwert sowohl manuelle Überprüfungen als auch automatisierte Sicherheitschecks erheblich.
Die technische Raffinesse geht noch weiter: Die aktuelle GlassWorm-Variante nutzt JavaScript-basierte Loader in mehreren Stufen, implementiert geografische Sperrungen (um beispielsweise russische Systeme zu verschonen), und nutzt sogar die Solana-Blockchain – speziell deren Transaktions-Memos – zur Kommunikation mit Command-and-Control-Servern. Die Infrastruktur und Loader-Logik werden zudem aggressiv rotiert, um Erkennungsmechanismen zu umgehen.
Das Sicherheitsunternehmen Socket warnt darüber hinaus vor einer psychologischen Komponente des Angriffs: Die Bedrohungsakteure manipulieren Download-Zähler und imitieren vertrauenswürdige Extensions, um Entwickler zum Herunterladen zu verleiten. Obwohl Open VSX viele der identifizierten schädlichen Extensions entfernt hat, existieren zum Zeitpunkt der Veröffentlichung noch weitere Exemplare auf der Plattform. Socket-Experten gehen davon aus, dass die Zahl der neu identifizierten Malware-Komponenten weiter anwachsen wird.
Für Organisationen in Deutschland und weltweit empfehlen Sicherheitsexperten konkrete Schutzmaßnahmen: Extensions sollten auf Versionsänderungen bei extensionPack und extensionDependencies überprüft werden, Installations- und Update-Ketten müssen auditiert werden, und IT-Teams sollten gezielt nach GlassWorm-Indikatoren wie gestuften Loadern oder Solana-Transaktionen suchen. Das Fazit der Sicherheitsforscher ist klar: Die Open-Source-Entwickler-Ökosysteme sind für Malware-Verbreiter zu attraktiven Zielscheiben geworden – und GlassWorm ist nur ein Symptom eines größeren Problems.