Open VSX unter Beschuss: GlassWorm Malware zielt auf Mac-Entwickler ab
Der Angriff auf Open VSX demonstriert eindrucksvoll, wie vertrauenswürdige Plattformen im Open-Source-Umfeld als Vehikel für moderne Cyberangriffe missbraucht werden können. Im Zentrum steht die Malware GlassWorm, eine sich selbst replizierende Bedrohung, die in ihrer vierten Welle aktiv ist und seit etwa zweieinhalb Monaten Verwüstungen anrichtet. Während frühere Angriffsziele primär auf Windows fokussiert waren, hat GlassWorm nun den Fokus auf macOS-Entwickler gelegt, was ein Signal für einen adaptiven Wandel im Täterverhalten darstellt.
Die Verbreitung erfolgte direkt über Open VSX, das als weitverbreitetes Repository für Erweiterungen im Visual Studio Code und ähnlichen Editoren dient. Drei bösartige Erweiterungen, getarnt als nützliche Werkzeuge zur Produktivitätssteigerung oder als anpassbare Codeformatierungstools, sammelten insgesamt über 50.000 Downloads, bevor sie entdeckt und entfernt wurden. Eine davon, Prettier Pro, versuchte unter dem Deckmantel einer Codeformatierungslösung ins Netz zu gehen.
GlassWorm bedient sich raffinierter Techniken zur Evasion; beispielsweise verzögert es den Ausführungsbeginn um 15 Minuten, um Sandbox-Tests zu umgehen, und verschlüsselt seine Nutzlast in JavaScript-Dateien mit AES-256-CBC. Im Gegensatz zu früheren Windows-Varianten setzt die macOS-Variante auf andere Methoden wie die Vermeidung von Unicode-Tricks und Rust-Binärdateien, was die Anpassungsfähigkeit der Bedrohung unterstreicht. Die Zielgruppe ist gezielt ausgewählt: Entwickler, insbesondere in Kryptografie-, Web3- und Start-up-Szenarien, da diese oft Mac-Nutzer sind und somit besonders anfällig für GlassWorm.
Die Malware nutzt die Solana-Blockchain für Command-and-Control-Kommunikation und geht nach der Datendiebstahlsstrategie über 50 Kryptowallets und Browsererweiterungen vor. Sie stiehlt wertvolle Vermögenswerte wie GitHub- und NPM-Tokens, SSH-Schlüssel, Schlüsselbund-Passwörter, VPN-Konfigurationen und Browserdaten.
Die gesamte Bandbreite an schädlichen Funktionen, einschließlich des Stehlens von Anmeldeinformationen, Zugriffs auf den Schlüsselbund, Datenexfiltration und Persistenz, bleibt in dieser macOS-Version voll funktionsfähig. Der Angriff auf Open VSX dient als eindringliches Beispiel für die Notwendigkeit kontinuierlicher Wachsamkeit und Sicherheitsmaßnahmen im Open-Source-Ökosystem. Open VSX selbst hat Entwickler aufgefordert, verdächtige Erweiterungen umgehend zu melden, um weitere Ausbrüche zu verhindern und das System zu schützen.
Schlagwörter: GlassWorm + Windows + Pro
Wie bewerten Sie den Schreibstil des Artikels?