Achtung Entwickler: Manipulierte Erweiterungen in VS Code aktiv
Nutzer der Microsoft-Entwicklungsumgebung VS Code sollten aktuell wieder besonders achtsam sein. Denn es gibt eine neue Aktivitätswelle der sogenannten GlassWorm-Kampagne, bei der Malware in verschiedenen populären Erweiterungen untergebracht wird.
Die GlassWorm-Kampagne wurde erstmals Ende vergangenen Monats vom Sicherheitsunternehmen Koi Security dokumentiert. Die Angreifer nutzen präparierte Extensions sowohl im Microsoft Marketplace als auch in der Open VSX Registry. Ziel ist es, Logindaten für Open VSX, GitHub und Git-Repositories zu stehlen, Kryptowährungsguthaben aus kompatiblen Wallet-Erweiterungen abzuzweigen und zusätzliche Zugangs- und Fernwartungswerkzeuge nachzuladen.
Besonders perfide ist der Einsatz unsichtbarer Unicode-Zeichen, die schädlichen Code in harmlos wirkenden Dateien verstecken. Dadurch lässt sich die Malware nur schwer erkennen. Mit den erbeuteten Anmeldedaten werden außerdem weitere Erweiterungen manipuliert und veröffentlicht, was zu einer selbstverstärkenden Kettenreaktion führt, ähnlich der Funktionsweise eines Computerwurms.
Koi Security berichtete außerdem von einer versehentlich offen einsehbaren Serveradresse der Täter, über die eine Liste von Opfern eingesehen werden konnte. Diese umfasste Unternehmen und Organisationen aus den USA, Europa, Asien und Südamerika, darunter auch eine bedeutende Regierungsbehörde im Nahen Osten. Hinweise deuten darauf hin, dass die Täter russischsprachig sind und das Open-Source-C2-Framework RedExt verwenden.
Parallel dazu hat der Sicherheitsanbieter Aikido dokumentiert, dass GlassWorm mittlerweile verstärkt GitHub-Repositories angreift, um schädliche Code-Änderungen einzuschleusen. Die Gefahr für Entwickler- und Unternehmensnetzwerke bleibt damit akut.
Siehe auch:
Bekannte Malware-Kampagne
Der Schadcode zielt darauf ab, Zugangsdaten zu stehlen und Malware an die Nutzer der vom Entwickler erstellten Software zu verbreiten. Laut aktuellen Berichten sind drei neue betroffene Erweiterungen weiterhin frei downloadbar:- ai-driven-dev.ai-driven-dev
- adhamu.history-in-sublime-merge
- yasuyuky.transient-emacs
Die GlassWorm-Kampagne wurde erstmals Ende vergangenen Monats vom Sicherheitsunternehmen Koi Security dokumentiert. Die Angreifer nutzen präparierte Extensions sowohl im Microsoft Marketplace als auch in der Open VSX Registry. Ziel ist es, Logindaten für Open VSX, GitHub und Git-Repositories zu stehlen, Kryptowährungsguthaben aus kompatiblen Wallet-Erweiterungen abzuzweigen und zusätzliche Zugangs- und Fernwartungswerkzeuge nachzuladen.
Besonders perfide ist der Einsatz unsichtbarer Unicode-Zeichen, die schädlichen Code in harmlos wirkenden Dateien verstecken. Dadurch lässt sich die Malware nur schwer erkennen. Mit den erbeuteten Anmeldedaten werden außerdem weitere Erweiterungen manipuliert und veröffentlicht, was zu einer selbstverstärkenden Kettenreaktion führt, ähnlich der Funktionsweise eines Computerwurms.
Große Liste von Opfern
Zwar hatte die Plattform Open VSX nach den ersten Erkenntnissen im Oktober 2025 sämtliche bekannten bösartigen Erweiterungen entfernt und die zugehörigen Zugangs-Token zurückgesetzt. Doch laut der aktuellen Analyse ist die Kampagne wieder aktiv. Die Angreifer betreiben ihre Steuerungsserver über Einträge in der Solana-Blockchain. Dadurch können neue Anweisungen oder Download-Adressen für Schadprogramme kostengünstig und nahezu unbemerkt aktualisiert werden, selbst wenn frühere Server abgeschaltet wurden.Koi Security berichtete außerdem von einer versehentlich offen einsehbaren Serveradresse der Täter, über die eine Liste von Opfern eingesehen werden konnte. Diese umfasste Unternehmen und Organisationen aus den USA, Europa, Asien und Südamerika, darunter auch eine bedeutende Regierungsbehörde im Nahen Osten. Hinweise deuten darauf hin, dass die Täter russischsprachig sind und das Open-Source-C2-Framework RedExt verwenden.
Parallel dazu hat der Sicherheitsanbieter Aikido dokumentiert, dass GlassWorm mittlerweile verstärkt GitHub-Repositories angreift, um schädliche Code-Änderungen einzuschleusen. Die Gefahr für Entwickler- und Unternehmensnetzwerke bleibt damit akut.
Zusammenfassung
- Neue Aktivitätswelle der GlassWorm-Kampagne in VS Code-Erweiterungen
- Drei manipulierte Erweiterungen sind weiterhin frei im Marketplace erhältlich
- Schadcode stiehlt Logindaten und verbreitet Malware an Endnutzer
- Angreifer verstecken Code mit unsichtbaren Unicode-Zeichen in Dateien
- Steuerungsserver der Kampagne werden über Solana-Blockchain betrieben
- Betroffene Opfer umfassen Unternehmen und Regierungsbehörden weltweit
- GlassWorm greift nun verstärkt GitHub-Repositories für Code-Manipulationen an
Siehe auch:
Thema:
Beliebte Open-Source-Downloads
Videos zum Thema
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Windows 11 bekommt einen Button zum Entfernen aller KI-Modelle
- Meta macht (ein bisschen) Rückzieher bei Mitarbeiter-Totalüberwachung
- Update für Google Home: Gemini-KI startet nun auch in Deutschland
- Vernichtende Kritik: MMO-Hoffnung Camelot Unchained ein totaler Flop
- Komplett zerstörte Startrampe: Blue Origin hat aggressiven Aufbauplan
- Microsoft Surface Pro 13-Zoll: Das ist das Tablet mit Snapdragon X2 Elite
- Google will Android-Entwickler für Zugang zum App-Code bezahlen
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon