BEDROHUNG
Die GlassWorm-Malware, die seit ihrer ersten Sichtung im Oktober letzten Jahres mehrfach in modifizierten Versionen auftauchte, ist mit 73 neuen Erweiterungen zurück. Diese „Schläfer"-Extensions wirken beim initialen Upload völlig harmlos und erhalten die bösartige Payload erst nach einem Update.
Nach Informationen von Socket handelt es sich bei den neuen Erweiterungen überwiegend um Klone legitimer Add-ons. Die Angreifer verwendeten unter anderem ähnliche Namen, Icons und Beschreibungen, um Entwickler zu täuschen, die Erweiterungen nur oberflächlich prüfen. Sechs der Erweiterungen wurden bereits aktiviert und liefern Malware aus, während die übrigen nach Einschätzung der Forscher auf Aktivierung warten oder zumindest verdächtig sind.
Die Payload wird über unterschiedliche Methoden nachgeladen. Beobachtet wurde unter anderem der Download sekundärer VSIX-Pakete von GitHub mit anschließender Installation über Kommandozeilenbefehle. Andere Varianten nutzen plattformspezifische .node-Module oder stark obfuskierten JavaScript-Code, der erst zur Laufzeit dekodiert wird. Frühere GlassWorm-Wellen zielten unter anderem auf Krypto-Wallets, Zugangsdaten, SSH-Schlüssel und Daten aus Entwicklerumgebungen.
Technische Details zu den neuen Erweiterungen wurden bislang nicht veröffentlicht. Nutzern, die verdächtige Erweiterungen installiert haben, wird empfohlen, Secrets zu rotieren und die Umgebung zu bereinigen.
Was jetzt zu tun ist:
Secrets rotieren und gegebenenfalls die Entwicklerumgebung vollständig bereinigen
PRÄVENTION & DETEKTION
EDR‑Lösungen, wie SentinelOne oder Microsoft Defender, geben Unternehmen die volle Kontrolle über ihre Endpunkte. Sie schaffen maximale Transparenz, erkennen verdächtige Aktivitäten in Echtzeit und machen selbst hochkomplexe Cyberangriffe sichtbar. So können Sicherheitsteams Bedrohungen nicht nur schneller identifizieren, sondern gezielt analysieren, automatisiert eindämmen und nachhaltige Schäden zuverlässig verhindern.
Autor: Michael Niers
