BEDROHUNG
Neue GlassWorm-Erweiterungen missbrauchen Abhängigkeiten in Open VSX
Die GlassWorm-Kampagne trifft dieses Mal Open VSX: Das Sicherheitsunternehmen Socket hat 72 kompromittierte Erweiterungen identifiziert. Die Angreifer geben sich zunächst als legitime Entwickler-Tools aus – darunter Linter und KI-Programmierassistenten wie ein Klon namens „Google Antigravity".
Das Angriffsmuster funktioniert zweistufig: In einem ersten Schritt erscheinen die Erweiterungen unauffällig. Realistisch wirkende Folge-Updates – Dokumentationspflege, Bugfixes – ergänzen dann HTTP-URLs in den Feldern extensionPack und extensionDependencies der package.json. Die ursprünglich harmlosen Pakete dienen danach als Installationsvektor für nachgelagerte Payloads.
Die neuen Pakete setzen zudem auf stärkere Obfuskierung, rotieren Solana-Wallet-Adressen und schließen russische Systeme per Geofencing aus. Die über einige npm-Pakete ausgelieferte Datensammel-Payload wurde am 12. März durch eine „Hello, world!"-Meldung ersetzt. Open VSX hat die betroffenen Erweiterungen inzwischen entfernt.
Was jetzt zu tun ist:
Betroffenheit prüfen
PRÄVENTION & DETECTION
SentinelOne bietet hier eine der leistungsstärksten Endpoint-Security-Lösungen am Markt: Durch Behavioral AI erkennt und stoppt die Plattform Angriffe, selbst wenn sie völlig neu oder unbekannt sind.
Autor: Michael Niers
