GlassWorm-Malware greift Entwickler über VS Code-Erweiterungen an

Ein gehacktes Entwicklerkonto auf dem Open VSX Registry hat Tausende Nutzer mit einer hochgefährlichen Schadsoftware infiziert. Der Angriff unterstreicht die wachsende Gefahr durch gezielte Supply-Chain-Angriffe auf die Software-Entwicklung.

Supply-Chain-Angriff über kompromittiertes Konto

Die Cyberkriminellen gingen besonders trickreich vor: Statt neue, gefälschte Tools zu verbreiten, übernahmen sie das Konto eines etablierten Publishers mit dem Namen „oorzc“. Über dieses Konto verteilten sie bösartige Updates für vier beliebte Erweiterungen für Visual Studio Code, die teilweise seit über zwei Jahren auf der Open-Source-Plattform verfügbar waren. Diese Erweiterungen hatten vor den schädlichen Updates gemeinsam mehr als 22.000 Downloads.

Zu den kompromittierten Tools gehörten ein FTP/SFTP-Sync-Werkzeug, ein Internationalisierungs-Tool (i18n), eine Mind-Map-Erweiterung und ein SCSS-zu-CSS-Compiler. Sicherheitsforscher des Unternehmens Socket entdeckten die schädliche Aktivität am 31. Januar 2026. Das Open-VSX-Sicherheitsteam entfernte daraufhin die betroffenen Versionen. Der Zugriff der Angreifer erfolgte vermutlich über ein geleaktes Authentifizierungstoken oder anderweitig erlangte Veröffentlichungs-Zugangsdaten.

GlassWorm: Gefährlicher Datendieb für macOS

Die Malware mit dem Namen GlassWorm ist ein speziell für macOS entwickelter Informationsdieb mit beunruhigenden Fähigkeiten. Sie zielt systematisch auf hochsensible Daten ab, die typischerweise auf Entwickler-Rechnern zu finden sind.

Passend zum Thema Cybersecurity — Viele Organisationen unterschätzen die Gefahr durch gezielte Supply‑Chain‑Angriffe. Der kostenlose Report „Cyber Security Awareness Trends“ erklärt aktuelle Angriffs‑Taktiken (inkl. Infostealer wie GlassWorm), ordnet Risiken für Entwickler‑Workstations ein und liefert einen kompakten 4‑Punkte‑Plan zum Schutz von SSH‑Schlüsseln, npm‑Tokens und Krypto‑Wallets. Praxisnah, ohne große Investitionen, ideal für Entwickler, DevOps‑ und Security‑Teams. Jetzt kostenlosen Cyber‑Security‑Guide sichern

Die Schadsoftware stiehlt Zugangsdaten, Cookies und Browserverlauf aus Firefox und Chromium-basierten Browsern. Besonders aggressiv sucht sie nach Kryptowährungen und extrahiert Daten aus zahlreichen Software-Wallets wie MetaMask, Exodus, Atomic Wallet, Ledger Live und Trezor Suite.

Doch GlassWorm ist technisch anspruchsvoller als einfache Datendiebe. Die Malware prüft die Systemregion und deaktiviert sich selbst auf Rechnern, die in Russland lokalisiert zu sein scheinen – eine gängige Taktik bestimmter Cyberkrimineller. Für die Kommunikation mit ihren Steuerungsservern nutzt sie die Solana-Blockchain, was die Blockade durch Sicherheitstools erschwert. Zusätzlich erbeutet sie entwicklerspezifische Zugangsdaten wie SSH-Schlüssel, AWS-Credentials, npm-Tokens sowie die iCloud-Keychain-Datenbank und VPN-Konfigurationsdateien.

Entwickler im Visier: Ein lukratives Ziel

Dieser Vorfall zeigt den wachsenden Fokus von Cyberkriminellen auf die Software-Entwicklungsumgebung. Entwickler gelten als lukrative Ziele, da ihre Rechner oft Zugang zu sensiblen Unternehmensdaten, proprietärem Quellcode und Cloud-Zugangsdaten bieten. Die Kompromittierung eines einzigen Entwicklungswerkzeugs kann potenziell den Zugriff auf kritische Assets eines gesamten Unternehmens ermöglichen.

Der Angriff ist Teil eines besorgniserregenden Trends: Die Bedrohung durch Malware für macOS nimmt deutlich zu, obwohl das Betriebssystem lange als sicherer galt. Besonders Infostealer, die auf Zugangsdaten und Krypto-Assets abzielen, verbreiten sich rasant. Angriffe auf Open-Source-Repositories und Erweiterungs-Marktplätze werden häufiger – ein Zeichen dafür, dass das Vertrauensmodell dieser Ökosysteme gezielt ausgehöhlt wird.

Sicherheitslücken im Update-Mechanismus

Der GlassWorm-Angriff offenbart eine fundamentale Schwachstelle: Wenn Angreifer die Identität eines vertrauenswürdigen Publishers annehmen können, wird der automatisierte Update-Mechanismus, auf den Nutzer für Sicherheit und Funktionalität angewiesen sind, zum Einfallstor. Der Vorfall zwingt zu einer Neubewertung der Sicherheitsmaßnahmen auf Open-Source-Marktplätzen. Wie verlässlich sind die Identitätsprüfungen für Publisher? Wie kann die Integrität von Software-Paketen besser gewährleistet werden?

Die Taktik der Angreifer entwickelt sich weiter. Statt simpler Methoden setzen sie zunehmend auf gezielte Kompromittierungen etablierter Konten mit großer Nutzerbasis. Die Nutzung der Blockchain für die Command-and-Control-Infrastruktur zeigt ein hohes Maß an operativer Sicherheit und Raffinesse. Die umfangreiche Liste der angezielten Daten – von Krypto-Wallets bis zu Cloud-Zugangsdaten – deutet darauf hin, dass die Malware für maximalen finanziellen Gewinn und Industriespionage konstruiert wurde.

Schutzmaßnahmen und Handlungsempfehlungen

Die kompromittierten Erweiterungen wurden zwar vom Open-VSX-Marktplatz entfernt. Dennoch sind alle Nutzer gefährdet, die die betroffenen Tools zwischen dem 30. Januar und dem 2. Februar 2026 heruntergeladen oder aktualisiert haben. Sicherheitsexperten raten Entwicklern dringend, ihre VS-Code-Umgebung zu überprüfen und alle Erweiterungen des Publishers „oorzc“ zu entfernen.

Langfristig empfehlen Cybersecurity-Experten mehrere defensive Strategien. Die zwei-Faktor-Authentifizierung (2FA) für alle Entwicklerkonten, insbesondere auf Veröffentlichungsplattformen, ist entscheidend, um Account-Übernahmen zu verhindern. Unternehmen sollten automatisierte Scan-Tools implementieren, die anomale Änderungen in Software-Abhängigkeiten erkennen. Entwicklungswerkzeuge müssen als kritische Angriffsfläche betrachtet werden, die kontinuierlich überwacht werden muss.

Dieser Vorfall dürfte Forderungen nach robusteren Sicherheits- und Prüfverfahren innerhalb von Open-Source-Registern verstärken. Die globale Entwicklergemeinschaft muss besser vor immer ausgefeilteren Supply-Chain-Angriffen geschützt werden.

Übrigens: Wenn Sie Ihre Entwicklungsumgebung jetzt sichern wollen, bietet dieser Gratis‑Report sofort anwendbare Checklisten und Erkennungsregeln für Phishing und manipulierte Updates. Schritt‑für‑Schritt‑Empfehlungen helfen dabei, Accounts zu härten, automatisierte Scans einzuführen und sensible Keys zu schützen — konkret umsetzbar für kleine Teams. Ideal für alle, die kürzlich Drittanbieter‑Erweiterungen installiert oder aktualisiert haben. Jetzt Cyber‑Security‑Report anfordern