Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware GlassWorm v2 Malware

GlassWorm v2 Malware

Von Mezo in Malware, Diebe
Übersetzen Sie in:

Cybersicherheitsforscher haben eine groß angelegte Schadsoftware-Kampagne aufgedeckt, die Dutzende von Microsoft Visual Studio Code (VS Code)-Erweiterungen aus dem Open VSX-Repository betrifft. Die unter dem Namen GlassWorm geführte Operation zielt darauf ab, sensible Informationen von Entwicklern zu stehlen und Entwicklungsumgebungen zu kompromittieren.

Die Ermittler entdeckten 73 verdächtige Erweiterungen, die legitime Tools imitieren. Sechs davon wurden als schädlich identifiziert, während die übrigen offenbar als unauffällige „Schlafprogramme“ fungieren, die das Vertrauen der Nutzer gewinnen sollen, bevor sie später durch Updates manipuliert werden.

Alle identifizierten Erweiterungen wurden Anfang April 2026 hochgeladen. Seit dem 21. Dezember 2025 haben Forscher mehr als 320 schädliche Artefakte mit der umfassenderen GlassWorm-Infrastruktur in Verbindung gebracht.

Bestätigte schädliche Erweiterungen

Folgende Open VSX-Erweiterungen wurden als schädlich bestätigt:

  • outsidestormcommand.monochromator-theme
  • keyacrosslaud.auto-loop-for-antigravity
  • krundoven.ironplc-fast-hub
  • boulderzitunnel.vscode-buddies
  • cubedivervolt.html-code-validate
  • Winnerdomain17.version-lens-tool

Social Engineering durch geklonte Pakete

Viele der versteckten Erweiterungen imitieren vertrauenswürdige Pakete durch Typosquatting. Angreifer verwendeten beispielsweise irreführende Namen wie CEINTL.vscode-language-pack-tr anstelle des legitimen Emotionkyoseparate.turkish-language-pack.

Um die Glaubwürdigkeit zu erhöhen, kopierten diese gefälschten Erweiterungen auch die Originalsymbole und -beschreibungen. Diese Strategie des „visuellen Vertrauens“ hilft Angreifern, die Installationszahlen auf natürliche Weise zu steigern, indem sie die Pakete authentisch und sicher erscheinen lassen.

Angreifer wechseln zu unauffälligeren Zustellungsmethoden.

Forscher berichten, dass die GlassWorm-Betreiber ihre Methoden aktiv verfeinern, um einer Entdeckung zu entgehen. Anstatt Schadsoftware sofort einzusetzen, nutzen sie nun sogenannte Sleeper-Pakete und versteckte transitive Abhängigkeiten, die später aktiviert werden können.

Die Kampagne nutzt außerdem Zig-basierte Dropper, um eine zweite schädliche VSIX-Erweiterung zu installieren, die auf GitHub gehostet wird. Nach der Ausführung kann der Loader die Schadsoftware über mehrere integrierte Entwicklungsumgebungen (IDEs) auf demselben System verbreiten.

Mehrere IDEs gefährdet

Die Malware ist in der Lage, über den Befehl `--install-extension` mehrere Entwicklerplattformen zu identifizieren und zu infizieren, darunter:

  • Microsoft VS Code
  • Cursor
  • Windsurf
  • VSCodium

Die endgültige Nutzlast ist für Datendiebstahl und Fernsteuerung ausgelegt.

Ungeachtet des anfänglichen Infektionswegs bleibt das letztendliche Ziel dasselbe. Die Schadsoftware ist so konzipiert, dass sie Systeme in Russland meidet, sensible Informationen sammelt, einen Remote-Access-Trojaner (RAT) einsetzt und heimlich eine manipulierte, auf Chromium basierende Browsererweiterung installiert.

Diese Browsererweiterung kann Anmeldeinformationen, Lesezeichen und weitere gespeicherte Daten abfangen. In manchen Varianten ist der eigentliche Übermittlungsmechanismus in verschleiertem JavaScript verborgen, wobei die Erweiterung lediglich als Loader fungiert, während die eigentliche Nutzlast erst nach der Aktivierung heruntergeladen und ausgeführt wird.

Im Trend

Am häufigsten gesehen

Wird geladen...