GlassWorm nistete ein Jahr in VS-Code-Erweiterungen, bevor er abgeschaltet wurde

Über ein Jahr lang arbeiteten einige der Entwickler, die die Apps auf Ihrem Telefon bauen, unwissentlich für jemand anderen. Eine Schadsoftware namens GlassWorm steckte in Erweiterungen für Visual Studio Code, den weltweit meistgenutzten Code-Editor, und in den Open-Source-Paketen, die diese Entwickler täglich in ihre Projekte holen. Sie sammelte deren Passwörter ein, kaperte ihre Konten und nutzte sie, um sich in noch mehr Software einzunisten. CrowdStrike, Google und die Shadowserver Foundation haben ihm nun die Fäden durchschnitten.

Das betrifft auch Menschen, die nie einen Code-Editor geöffnet haben, denn die Software-Lieferkette ist genau das, eine Kette. Die Messenger-App auf dem Handy, die Banking-App, das Spiel auf der Konsole ruhen alle auf Tausenden kleiner Open-Source-Bausteine, die andere schreiben und pflegen. Vergiftet man einen dieser Bausteine, kann das Gift flussabwärts bis in fertige Produkte gelangen, die Millionen nutzen. GlassWorm war gebaut, um auf dieser Strömung zu reiten, ohne gesehen zu werden.

Was ihn auszeichnete, war das Verstecken. Seine Betreiber schrieben die Schadbefehle mit unsichtbaren Unicode-Zeichen, Code, der im Editor als leerer Raum erscheint, sodass ein Entwickler beim Prüfen der Datei nichts Auffälliges sah. Die Forscher von Koi Security, die die Kampagne als Erste aufdeckten, bezeichneten ihn als den ersten Wurm, der sich selbst über Editor-Erweiterungen verbreitet. Jede infizierte Maschine wurde zum Ausgangspunkt für die nächste.

Empfohlene LektüreEine vergiftete VS-Code-Erweiterung stahl 3.800 interne GitHub-Repositories

Die meisten Lieferketten-Angriffe sind ein schneller Schlag: Ein vergiftetes Paket wird gefunden, entfernt und binnen Tagen behoben. GlassWorm war auf Dauer angelegt. Weil er die zur Verbreitung nötigen Zugangsdaten selbst stahl, konnte er sich lange nach dem Entfernen einer Erweiterung erneut einpflanzen, und so erreichte eine einzige Operation Hunderte Projekte und Zehntausende Downloads über mehr als ein Jahr.

Die Infektionswege waren die alltägliche Installation moderner Softwarearbeit. Die Betreiber luden präparierte Erweiterungen bei Open VSX hoch, dem Marktplatz, der VS Code und seine Verwandten Cursor, Windsurf, Positron und VSCodium speist, getarnt als harmlose Werkzeuge wie Zeiterfassung oder Code-Formatierer. Sie schleusten manipulierten Code in npm-Pakete und in den Python-Paketindex über Installationsskripte ein, die von allein laufen, und mit Zugangsdaten früherer Opfer erzwangen sie bösartige Änderungen in den Hauptzweigen von mehr als 300 GitHub-Repositorys. War GlassWorm einmal auf einer Maschine, suchte er nach Schlüsseln: npm-Token, GitHub-Logins, die Veröffentlichungs-Token, mit denen man Erweiterungen einstellt, und Krypto-Wallets. Er machte infizierte Rechner zu Relais-Servern für anderen kriminellen Verkehr und installierte in manchen Fällen versteckte Fernzugriffssoftware, die den Betreibern einen Live-Blick auf den Bildschirm gab.

Ihn abzuschalten hieß, gegen die Art vorzugehen, wie die Betreiber mit ihren Maschinen in Kontakt blieben, und hier war GlassWorm auf Überleben gebaut. Statt sich auf einen einzigen abschaltbaren Befehlsserver zu verlassen, nutzte er vier Kanäle gleichzeitig. Einer verschlüsselte seine Befehle in Transaktionen der Solana-Blockchain, einem öffentlichen Register, das dauerhaft und unerreichbar sein soll. Ein anderer versteckte die Konfiguration im Filesharing-Netz BitTorrent. Ein dritter schob codierte Webadressen in die Titel von Google-Calendar-Terminen. Der vierte war ein schlichter gemieteter Server. Das Counter-Adversary-Operations-Team von CrowdStrike kappte zusammen mit Google und Shadowserver den gesamten Satz in einem einzigen koordinierten Schlag.

Die Drähte zu kappen ist nicht dasselbe wie die Wunde zu säubern. Das Kappen der Kanäle hindert die Betreiber daran, neue Befehle und frische Schadlasten zu schicken, entfernt GlassWorm aber nicht von den Maschinen, die er bereits kontrolliert, und jedes schon gestohlene Passwort bleibt gestohlen. Es ist auch nicht die erste Störung der Kampagne. Nachdem Koi Security sie enthüllt hatte, kam GlassWorm zurück, einmal mit zwei Dutzend neuen bösartigen Erweiterungen und Monate später mit weiteren Dutzenden. Der Blockchain-Kanal, den Forscher als nicht abschaltbar beschrieben, ist nun abgeschaltet, doch die Hintermänner haben immer wieder gezeigt, dass sie wieder aufbauen.

Ermittler gehen davon aus, dass die Betreiber wahrscheinlich in Russland sitzen. Die Schadsoftware prüft beim Start die Sprach- und Zeitzoneneinstellungen des Rechners und beendet sich lautlos, wenn sie auf einem System in Russland oder einem Nachbarstaat aus dem früheren sowjetischen Raum landet, eine vertraute Handschrift krimineller Gruppen, die aus der Region heraus arbeiten und lokale Opfer meiden. CrowdStrike fasste den Wandel nüchtern zusammen: Angreifer zielen nicht mehr nur auf Produkte, sie zielen auf die Entwickler, die sie bauen. Die Shadowserver Foundation hat begonnen, betroffene Organisationen zu informieren, damit sie ihre Systeme bereinigen und jede möglicherweise abgeflossene Zugangsdaten erneuern, und für alle weiter unten in der Kette beginnt die eigentliche Arbeit jetzt, während Teams prüfen, welche Erweiterungen und Pakete sie seit Anfang 2025 installiert haben. Die Infrastruktur ist dunkel. Das Aufräumen hat kaum begonnen.

Mehr davon

Ein Scan von 380.000 mit KI gebauten Apps findet Tausende ohne jede Authentifizierung

Claude installiert npm-Pakete von selbst, und das falsche stiehlt deine Dateien

Megalodon machte GitHub Actions zur Hintertür für 5.561 Repositorys

CISA, die Behörde für US-Bundesnetze, ließ eigene AWS-Schlüssel auf GitHub liegen

Claude fand 10.000 kritische Lücken in einem Monat — Patchen ist der Engpass

Eine KI hat einen funktionierenden Zero-Day-Exploit geschrieben — Google fing ihn ab