Eine neue Welle der Malware-Familie bekannt als GlassWorm hat wieder gezeigt, wie zerbrechlich die Software-Lieferkette für Entwickler sein kann. Bei dieser Gelegenheit verpflichteten die Angreifer das Konto eines legitimen Autors auf Open VSX - die Aufzeichnung von alternativen und Open-Source-Erweiterungen für Editoren basierend auf Visual Studio Code - und veröffentlichten bösartige Updates auf mehreren Erweiterungen, die zusammen über 22.000 Downloads, bevor sie entfernt wurden.
Die vom Sicherheitsteam veröffentlichte technische Analyse Sockel beschreibt, wie die Betreiber hinter der Kampagne das als oorzc identifizierte Konto missbraucht haben, um das GlassWorm-Ladegerät in vier Open VSX-Pakete einzuspritzen: oorzc.ssh-tools, oorzc.i18n-tools-plus, oorzc.mind-map und oorzc.scs-to-cs-compile. Die verseilten Versionen wurden am 30. Januar hochgeladen; bis dann waren diese Pakete ohne Zwischenfall für etwa zwei Jahre verfügbar, was darauf hindeutet, dass die Angreifer Zugriff auf die Entwickler-Publishing-Umgebung erlangten und nutzten es, um Malware zu verbreiten.
GlassWorm ist entworfen, um ausschließlich macOS anzugreifen in dieser Kampagne und zeigt eine breite Palette von Spionagefähigkeiten. Die Malware herunterladen und führen Sie einen Informationsextraktor, der die Beharrlichkeit durch einen LaunchAgent festlegt, um zu Beginn der Sitzung zu laufen, und suchen Sie nach sensiblen Daten auf Ihrem Computer: Chrom- und Firefox-Browser-Anmeldeinformationen, kryptographische Portemonnaie-Erweiterungen und Anwendungen, macOS-Schlüsseleintrag, Apple Notes-Datenbanken, Safari-Cookies, Entwicklungsgeheimnisse und lokale Dokumente. Laut Socket wurden alle gesammelten Informationen an eine von den Angreifern kontrollierte Infrastruktur in IP-Adresse 45.32.150 [.] 251 gesendet.
Zusätzlich zu Datendiebstahl enthält GlassWorm Funktionen, die die Fernbedienung und die seitliche Bewegung erleichtern: VNC-Unterstützung für Remote-Grafikzugang und die Funktionsfähigkeit als SOCKS-Proxy, so dass Angreifer den Verkehr durch die kompromittierte Maschine zu führen. In früheren Kampagnen hatte die Familie GlassWorm bereits Techniken gezeigt, um böswilligen Code durch "unsichtbare" Unicode-Zeichen zu verbergen und hatte versucht, Hardware-Wandets-Anwendungen wie Trezor und Ledger zu erkennen und zu stören, was eine ständige Evolution ihrer Fähigkeit, kritische Fonds und Entwicklungsumgebungen anzugreifen.
Ein neugieriges und markantes technisches Detail ist der beobachtete Befehls- und Steuerungsmechanismus: Operatoren ziehen Anweisungen aus dem Solana-Netzwerk-Transaktion Memos. Diese Art des verteilten Kontrollkanals, mit öffentlichen Blockchains zur Übertragung von Aufträgen, erschwert das traditionelle Tracking und bietet Widerstand gegen die Infrastruktur der Angreifer. Socket erkannte auch Kontrollen der Umwelt im Code, einschließlich der ausdrücklichen Ausschluss russischer Systeme, eine Praxis, die manchmal als Hinweis interpretiert wird, dass die Autoren versuchen, Opfer in ihrer eigenen Region zu vermeiden.
Die Antwort auf das Ökosystem war schnell: Socket berichtete über den Vorfall der Eclipse Foundation, verantwortlich für Open VSX, und das Plattform-Team bestätigte unberechtigten Zugriff, lehnte die engagierten Publikationstoken und eliminierte infizierte Versionen der Erweiterungen. In einem bestimmten Fall, oorzc.ssh-tools wurde vollständig aus dem Datensatz entfernt, nachdem es bestätigt wurde, dass es mehrere böswillige Starts enthielt. Bisher wurden öffentliche Versionen dieser Erweiterungen gereinigt, die jedoch nicht das Risiko für diejenigen beseitigen, die die kompromittierten Updates während des Zeitraums installiert haben, in dem sie aktiv waren. Für zusätzliche Lese- und Medienberichterstattung hat BleepingComputer die Kampagne und ihre Auswirkungen dokumentiert: BleepingComputer - GlassWorm in Open VSX.
Wenn Sie eine der betroffenen Versionen installiert haben, gibt es praktische Schritte, die sofort ergriffen werden sollten. Zunächst geht er davon aus, dass das Team kompromittiert wurde: Er führt eine vollständige Analyse durch und eliminiert verdächtige Dateien und Agenten - die LaunchAgens in macOS sind ein wichtiger Punkt, um zu überprüfen - und betrachtet die Verwendung bestimmter Erkennungs- und Reinigungswerkzeuge für macOS. Zweitens ändern und brechen Passwörter, API-Schlüssel und Token, und ermöglichen Multifactor-Authentifizierung in allen Dienstleistungen, wo möglich; für Entwickler, revoke und Reissue-Publishing Tokens in Erweiterungsrekorden ist unerlässlich. Drittens, überprüfen Sie jede Geldbörse von Kryptomonedas, die Sie in diesem Team verwendet haben: wenn ein privater Schlüssel oder Samen Phrase ausgesetzt wurde, Sicherheitsempfehlungen zwingen Sie, die Geld zu einer neuen und sicheren Geldbörse zu bewegen. Apple bietet allgemeine Sicherheitsführer auf seinen Geräten, die helfen können, zu führen: Apple Sicherheitsdokumentation.
Dieser Vorfall erinnert daran, dass das Vertrauen in die Software-Versorgungskette ein kritischer Bezug zur Sicherheit ist. Erweiterungen und Plugins sind Code, den wir in Entwicklungs- und Produktionsumgebungen betreiben; ein einzelnes Paket kann Infrastruktur-Geheimnisse, Repository-Berechtigungen und sensible Daten filtern. Projekte wie Open VSX ermöglichen eine offene Alternative zu offiziellen Märkten, aber nicht die Notwendigkeit zusätzlicher Kontrollen beseitigen: Anmeldungen, Audit-Publishing-Prozesse, Limit-Berechtigungen und die Rotation von Geheimnissen sind Maßnahmen, die helfen, Auswirkungen zu reduzieren, wenn ein schädlicher Schauspieler Zugriff auf ein legitimes Konto erhält.
Um besser zu verstehen, wie Transaktionen in Solana funktionieren und warum deren Nutzung als Kontrollkanal relevant ist, bietet die offizielle Projektdokumentation einen technischen Kontext im Format und im Memos: Transaktionsdokumentation in Spanien. Und wenn Sie für die Sicherheit von Paketen und Erweiterungen verantwortlich sind, sollten Sie die Umsetzung von strengeren Integritätsprüfungen und Veröffentlichungspolitiken berücksichtigen; Registrierungs- und Plattformbetreiber sollten den Nachweis von atypischen Publikationen verbessern und den schnellen Widerruf begangener Anmeldeinformationen erleichtern.
Die Lektion ist klar: Die Sicherheit des Entwicklers ist nicht mehr eine Frage der persönlichen Hygiene allein, sondern eine kollektive Verantwortung. Ein Paket mit tausenden von Downloads kann ein Massenexfiltrationsvektor werden, wenn ein Angreifer ein bösartiges Update veröffentlichen kann. Informationen, Überwachung von Aktivitätsaufzeichnungen, rotierenden Geheimnissen und Anwendung von technischen Publishing-Kontrollen sind Praktiken, die heute wesentlich sind, um das Risiko eines zukünftigen Glaswurms zu reduzieren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
! VS Code-Erweiterungen: der Angriff, der 3.800 interne Repositories ausgesetzt
GitHub hat bestätigt, dass ein Gerät eines Mitarbeiters mit einer bösartigen Erweiterung von Visual Studio Code die Exfiltration von Hunderten oder Tausenden von internen Reposi...
Grafana enthüllt das neue Gesicht der Sicherheit: Angriffe auf die Lieferkette, die Token, interne Repositories und npm Abhängigkeiten ausgesetzt
Grafana Labs bestätigte am 19. Mai 2026, dass die zu Beginn des Monats festgestellte Intrusion die Produktionssysteme oder den Betrieb der Grafana Cloud nicht beeinträchtigte, s...