GlassWorm: Unsichtbarer Wurm infiziert VS-Code-Extensions

Sicherheitsforscher von Koi Security haben einen selbst-propagierenden Wurm namens GlassWorm entdeckt, der VS-Code-Erweiterungen auf dem OpenVSX-Marktplatz kompromittiert und bereits aktive Infektionen verteilt. (koi.ai)
Die Malware versteckt ausführbaren JavaScript-Code mit unsichtbaren Unicode-Zeichen, sodass Code-Reviews und viele statische Scanner den Schadcode nicht bemerken.
Als Kommando- und Steuerinfrastruktur nutzt GlassWorm eine Kombination aus Solana-Blockchain-Transaktionen (immutable Memo-Felder) und einem Google-Calendar-Event als Backup-C2, plus direkte Payload-URLs — eine schwer zu unterbindende, dezentrale Steuerkette.
Die Nutzlasten enthalten Credential-Stealer und einen Remote-Access-Trojaner (ZOMBI), der NPM/Git/GitHub/OpenVSX-Tokens stiehlt, Entwicklermaschinen zu SOCKS-Proxies macht und versteckte VNC/HVNC-Zugänge einrichtet.
Koi meldet, dass am 17. Oktober mehrere OpenVSX-Extensions kompromittiert wurden und die Gesamtzahl der betroffenen Installationen sich in den Zehntausenden bewegt; weitere befallene Erweiterungen wurden auch im offiziellen VS-Code-Marketplace gefunden.
Organisationen und Entwickler sollten sofort prüfen, ob sie betroffene Extensions installiert haben, Tokens/Keys rotieren und lokale Erkennungsmaßnahmen für versteckte Unicode-Zeichen sowie Netzwerk-Anomalien einsetzen.

Related Posts

Kritische Schwachstellen in Veeam Backup & Replication behoben

Veeam hat am 14. Oktober 2025 das Patch-Update Veeam Backup & Replication 12.3.2.4165 veröffentlicht, das mehrere kritische Sicherheitslücken schließt.

Read More

Kritisches Sicherheitsupdate für ArcGIS Server: SQL-Injection-Lücke geschlossen

Esri hat am 7. Oktober 2025 ein wichtiges Sicherheitsupdate für ArcGIS Server veröffentlicht, das eine kritische SQL-Injection-Schwachstelle (CVE-2025-57870) in den Versionen 11.3, 11.4 und 11.5 auf Windows, Linux und Kubernetes behebt. Die Lücke wurde mit einem CVSS-Score von 10 bewertet – Administrator:innen sollten den Patch daher umgehend installieren.

Read More

Microsoft schränkt Internet Explorer Mode in Edge nach aktiven Angriffen ein

Microsoft hat Änderungen am Internet Explorer (IE) Mode in Edge vorgenommen, nachdem Sicherheitsforscher aktive Exploits gegen die IE-JavaScript-Engine Chakra entdeckt hatten. Angreifer nutzten Social-Engineering-Tricks und Zero-Day-Schwachstellen, um über den IE-Modus Remote Code Execution und Privilegienerweiterung zu erreichen.

Read More