Eine neue Welle der Kampagne bekannt als Glasscheibe hat das Ökosystem von Editor-Erweiterungen durch erscheinen 73 "sleeping" Pakete in OpenVSX, von denen sechs bereits aktiviert wurden und liefern schädliche Belastung, nach der von Socket veröffentlichten Forschung. Die verwendete Technik ist für ihre Einfachheit und Wirksamkeit von Belang: Die Erweiterungen werden zunächst als harmlose Geräte hochgeladen und nach einem späteren Update ihr Verhalten ändern, um zusätzlichen Code herunterzuladen und zu installieren oder kompilierte Module (.node) zu laden, die bösartige Logik enthalten.
Was diese Kampagne besonders heimtückisch macht, ist die visuelle supplantierende Taktik legitimer Listings: Icons, Namen und sehr ähnliche Beschreibungen, die den Entwickler täuschen, der dem Aussehen vertraut, anstatt den einzigartigen Editor oder Identifier zu überprüfen. In vielen Fällen fungiert das erste Paket als Licht "Ladegerät", das in Laufzeit VSIX-Pakete aus Repositories in GitHub herunterlädt, CLI-Befehle zur Installation ausführt, oder es läuft schwer überflüssig JavaScript-Code, der Backup-URLs und Payloads defiguriert.
Der potenzielle Einfluss ist nicht nur die Remote-Ausführung von Code auf die Maschine eines Entwicklers: es ist ein Gateway zu sensiblen Geheimnissen. vorherige GlassWorm-Kampagnen haben nach Kryptomoneda-Portfolioschlüsseln, Anmeldeinformationen, Zugriff auf Token, SSH-Schlüssel und Entwicklungsumgebungsdaten gesucht. Wenn eine einzelne engagierte Workstation CI / CD oder Tokens Anmeldedaten ausfiltern kann, die Zugriff auf Repositories und Cloud-Dienste geben, kann der Umfang schnell auf Infrastrukturverpflichtungen und Lieferketten skalieren.
Wenn Sie glauben, dass Sie eine der Erweiterungen installiert haben, ist es das erste, eine mögliche Exposition zu übernehmen und schnell zu handeln: Deinstallieren Sie verdächtige Erweiterungen, prüft ungewöhnliche Netzwerkprozesse und Verbindungen, isoliert die betroffene Maschine und dreht vor allem alle Anmeldeinformationen und Token, die von diesem Computer zugänglich gewesen sein könnten (Repository-Token, SSH-Tasten, Cloud-Service-Berechtigungen, API-Tasten und Porteet-Tasten). Socket hat die vollständige Liste der identifizierten Erweiterungen veröffentlicht und ist der Ausgangspunkt für die Identifizierung der betroffenen Einrichtungen: Steckdose - 73 Open VSX Schwellenerweiterungen.
Über die unmittelbare Reaktion hinaus gibt es praktische Maßnahmen, um diese Art von Risiko in der Zukunft zu mildern: Anwendung von Egress-Kontrollen (Output-Filterung), um automatische Downloads von unzuverlässigen URLs zu blockieren, zu vermeiden, Erweiterungen von nicht verifizierten Repositories in Produktionsumgebungen oder CI zu installieren, und isolierte Umgebungen (virtuelle Maschinen oder Ephemeral-Container) zu verwenden, um neue Erweiterungen zu testen, bevor sie in den Workflow zu integrieren. Es ist auch ratsam, dass Organisationen geheime Management- und automatische Rotationsrichtlinien implementieren und das Abonnement und die Berechtigungen der Konten überwachen, die Erweiterungen veröffentlichen.
Für Betreiber und Ökosystembetreuer wie OpenVSX und Erweiterungsmarktplätze unterstreicht der Fall erneut die Notwendigkeit, strengere Mechanismen für die Verifikation und Klonerkennung der Öffentlichkeit zu entwickeln: signierte Pakete, Validierung der Verleger-ID und visuelle Ähnlichkeitserkennung sollte Mindestanforderungen sein, zusammen mit einer automatisierten Analyse, die "sleeping" Verhaltensweisen oder Entladungsmuster in Laufzeit erkennt. Sie können die OpenVSX-Plattform für Details und Richtlinien des Projektarchivs überprüfen: OpenVSX.
Aus einer Compliance- und Risikoperspektive benötigen Kampagnen wie GlassWorm Sicherheitsteams, um die Software-Lieferkette-Review in die Bereitstellungsprozesse zu integrieren: Einheitsaudits, Geräte-Scanning und SBOMs (Liste der Komponenten) um unberechtigte Änderungen zu erkennen und das Belichtungsfenster zu reduzieren. Für allgemeine Leitlinien für das Risikomanagement in Lieferketten bietet die CISA nützliches Material, das die Kontrolle priorisieren kann: CISA - Supply Chain Risk Management.
Wenn Sie Beweise für Verlobung, Dokumentierung und Erhaltung von Logs und Artefakten vor der Reinigung der Ausrüstung erkennen, informieren Sie Ihr Sicherheitsteam und Vermarkter (OpenVSX und gegebenenfalls Socket-Ausrüstung oder gleichwertige Plattformen) und bereiten Sie sich auf eine sichere Rekonstruktion der Umgebung (saubere Reinstallation und Restaurierung von verifizierten Backups). Schnelle Eindämmung und die Rotation von Geheimnissen sind die Aktionen, die den Schaden kurzfristig am meisten reduzieren.
GlassWorm ist ein Beispiel dafür, wie Angreifer die Liefertaktik verfeinern: Statt direkt Malware einzuführen, ziehen sie es vor, durch die Vordertür mit gutartigen Artefakten zu gelangen und später die schädliche Belastung zu aktivieren. Für Entwickler und Sicherheitsbeamte erfordert dies eine Verschiebung von einer Standardvertrauensmentalität auf eine kontinuierliche Überprüfung- Überprüfen Sie die Verleger-ID, Monitor-Erweiterungs-Updates, Limit-Berechtigungen und automatisieren Sie die Rotation von Geheimnissen sind konkrete Schritte, die das Risiko reduzieren, Opfer dieser oder anderer ähnlicher Kampagnen zu werden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...