Ein legitimer Entwickler-Account namens „oorzc“ wurde vermutlich kompromittiert und genutzt, um vier OpenVSX-Erweiterungen mit insgesamt über 22.000 Downloads mit der GlassWorm-Payload zu versehen.
Nach Informationen von Socket Security wurden die bösartigen Updates am 30. Januar hochgeladen, nachdem die Erweiterungen zwei Jahre lang keinerlei bösartigen Code enthielten, was auf eine Kompromittierung des Entwicklerkontos durch die GlassWorm-Betreiber hindeutet.
Ziele seien demnach vor allem macOS-Systeme, wobei Anweisungen aus Solana-Transaktionsmemos gezogen werden. Einen Hinweis auf die Herkunft des Angreifers liefert die explizite Verschonung russischer Systeme.
Socket informierte die Eclipse Foundation über die infizierten Pakete, woraufhin Tokens widerrufen und entsprechende Releases entfernt wurden. Die Erweiterung „oorzc.ssh-tools“ wurde sogar vollständig gelöscht, da sie mehrere bösartige Releases enthielt.
Nutzern der entsprechenden Versionen wird empfohlen, eine Systemreinigung durchzuführen und sämtliche Secrets und Passwörter zu ändern.
Was jetzt zu tun ist:
- Erweiterungen entfernen
- Umgehend Systemreinigung durchführen
- Secrets und Passwörter ändern
