NERDMAN73 VS-Code-Extensions waren heimliche Malware-Schläfer
Entwickler, aufgepasst: Die GlassWorm-Kampagne ist zurück. Diesmal hat sie 73 Extensions im OpenVSX-Marktplatz platziert — als harmlose Tools getarnt, die erst nach einem Update zuschlagen.
So funktioniert der Trick
Die Extensions sehen aus wie normale Coding-Helfer. Syntax-Highlighting, Themes, kleine Utilities. Nichts Verdächtiges. Doch nach einem Update wird Schadcode nachgeladen — der klassische Sleeper-Angriff.
Das Perfide: Wer die Extension einmal installiert hat, bekommt das bösartige Update automatisch. Kein Klick nötig, kein Warnhinweis.
Was OpenVSX ist
OpenVSX ist die Open-Source-Alternative zum offiziellen VS-Code-Marktplatz von Microsoft. Millionen Entwickler nutzen ihn — besonders in Firmen, die keinen Microsoft-Account wollen. Genau das macht ihn zum perfekten Ziel.
Zahlenbox
- 73** — verseuchte Extensions identifiziert
- Methode:** Sleeper-Activation nach Update
- Ziel:** Entwickler-Maschinen mit Zugang zu Repos und Infrastruktur
- Kampagne:** GlassWorm (bereits bekannte Malware-Familie)
💡 Was das bedeutet
Entwickler-Rechner sind Goldgruben. Wer dort reinkommt, hat oft direkten Zugang zu Git-Repos, Cloud-Credentials und CI/CD-Pipelines. Ein kompromittierter Dev-Laptop kann die gesamte Software-Lieferkette vergiften. Supply-Chain-Angriffe über Package-Manager und Extension-Stores werden zum Standardwerkzeug organisierter Angreifer.
Pro (für die Angreifer)
- Automatische Updates liefern Payload ohne Nutzerinteraktion
- Extensions haben weitreichende Rechte auf dem Entwickler-System
- OpenVSX hat weniger Review-Ressourcen als Microsofts Marktplatz
Con (für die Angreifer)
- Kampagne ist jetzt öffentlich bekannt
- Betroffene Extensions können identifiziert und entfernt werden
Was Devs jetzt tun sollten
- Installierte OpenVSX-Extensions prüfen und mit der bekannten Liste abgleichen
- Extension-Berechtigungen kritisch hinterfragen
- Auto-Updates für Extensions deaktivieren oder zumindest überwachen
