GlassWorm beschränkt sich nicht auf Zugangsdaten für Microsoft und Open VSX. Laut Socket hat die Malware in der Vergangenheit auch NPM-, GitHub- und Git-Anmeldedaten gestohlen, ebenso Kryptowährungs-Wallets, macOS-Systemdaten, Browserdaten, Keychain-Datenbanken, Apple-Notes-Datenbanken, Safari-Cookies und VPN-Konfigurationen. Die Schadsoftware steht in der Linie der sich selbst replizierenden Malware Shai-hulud, die das NPM-Ökosystem ins Visier nimmt, ist technisch jedoch nicht im selben Sinne selbstreplizierend.
Viele der bekannten Verschleierungstricks bleiben in den jüngsten GlassWorm-Varianten erhalten, so das Forschungsteam von Socket. Dazu zählen gestaffelte, JavaScript-basierte Loader, Geofencing zur Verschonung russischer Opfer, die Nutzung von Transaktions-Memos der Solana-Blockchain zur Verbindung mit einem Command-and-Control-Server sowie die Ausführung von Folgecode im Arbeitsspeicher. Neu sei jedoch, dass die Angreifer Infrastruktur und Loader-Logik nun aggressiver rotieren.
Die wichtigste Veränderung ist laut Socket der Übergang zu einer transitiven Loader-Auslieferung: Schädliche Einträge nutzen die Felder “extensionPack” und “extensionDependencies”. Ein vergiftetes Paket wirkt damit zunächst harmlos, weil es den Loader nicht direkt enthält, sondern über eine deklarierte Erweiterungsbeziehung auf GlassWorms Infostealer-Funktionen zugreift. Socket bezeichnete dies als Weiterentwicklung der Malware und als “erhebliche Eskalation” in ihrer Verbreitung über Open VSX.
“In der Praxis bedeutet das, dass ein Nutzer eine für sich genommen unauffällige Erweiterung installieren kann und GlassWorm dennoch über deren deklarierte Erweiterungsbeziehung erhält. Das verringert die Sichtbarkeit der schädlichen Komponente, vergrößert die Reichweite der Angreifer und erschwert sowohl die manuelle Prüfung als auch die Sichtung auf Registry-Seite”, schrieb das Forschungsteam von Socket.
Die aktuelle Welle gibt sich überwiegend als weit verbreitete Entwickler-Erweiterungen aus. Um Vertrauenswürdigkeit und Beliebtheit vorzutäuschen, blähen die Angreifer die Download-Zahlen auf Tausende auf. Eine Liste der von Socket identifizierten schädlichen Erweiterungen findet sich im Blogbeitrag.
Open VSX hat die meisten transitiven schädlichen Erweiterungen entfernt, einige Beispiele waren zum Zeitpunkt der Veröffentlichung jedoch noch online. Philipp Burckhardt, Technical Lead für Threat Research bei Socket, teilte Dark Reading per E-Mail mit, man habe mehr als 20 weitere mit der Kampagne verbundene Open-VSX-Erweiterungen identifiziert; das Team erwarte, dass diese Zahl weiter steige.
Burckhardt rät Organisationen, solche Kampagnen ernst zu nehmen, da “Ökosysteme für Entwickler-Werkzeuge zu einem wirksamen Verteilungskanal für Malware geworden sind” — auch wegen der wertvollen Daten und Zugangsdaten auf Entwicklermaschinen. Socket empfiehlt, Erweiterungen auf versionsübergreifende Änderungen an extensionPack und extensionDependencies zu prüfen, Installations- und Update-Ketten zu kontrollieren und nach typischen GlassWorm-Indikatoren wie gestaffelten Loadern, russischem Geofencing und Solana-Memo-Abfragen zu suchen. Verteidiger müssten damit rechnen, dass mehr Erweiterungen bei der Veröffentlichung harmlos erscheinen und erst durch spätere Updates schädlich werden.
