73 Open VSX Sleeper Extensions in Verbindung mit GlassWorm verknüpft neue Malware-Kampagne

Frühere Varianten missbrauchten die Abhängigkeitsfunktionen , um bösartige Loader still zu installieren. Der neue Cluster vom April 2026 zeigt jedoch, dass Angreifer ihre Taktiken weiterentwickeln, um Sicherheitsscans zu umgehen.

Die Sleeper-Erweiterungs-Strategie Eine Sleeper-Erweiterung ist ein gefälschtes Paket, das öffentlicht wird, bevor es gewaffnet wird. Diese Erweiterungen erscheinen zunächst harmlos, um visuelles Vertrauen aufzubauen, Glaubwürdigkeit zu erlangen und Downloads zu sammeln.

Angreifer nutzen neu erstellte GitHub-Konten, um geklonte Versionen beliebter Tools zu veröffentlichen. Beispielsweise erstellten Angreifer ein gefälschtes Türkisch-Sprachpaket für Visual Studio Code, das der legitimen Version sehr ähnlich sah.

Sie kopierten das Globus-Symbol und die

Sie kopierten das Globus-Symbol und die Beschreibung und änderten lediglich den Namen des Herausgebers. Ein gefälschtes Türkisch-Sprachpaket für Visual Studio Code (Quelle: socket) Sobald Entwickler diese geklonten Tools installieren, warten die Angreifer, bevor sie ein Software-Update pushen, das die Malware liefert.

Mindestens sechs der 73 neuen Erweiterungen wurden bereits aktiviert, um Payloads zu liefern. Entwickelnde Liefermechanismen In dieser neuesten Welle fungiert die Erweiterung nur als dünner Loader, um externe Payloads abzurufen.

Native Binaries: Bundled.nodefiles sind im Erweiterungscode versteckt.

Obfuskiertes JavaScript: Die bösartige Logik ist

Obfuskiertes JavaScript: Die bösartige Logik ist stark verschleiert und stützt sich nicht auf gebündelte Binärdateien.

Der Code dekodiert sich zur Laufzeit, ruft eine bösartige .vsix-Payload öffentlichung ab und installiert sie über Befehlszeilapfade.

Native Installer Binärdateien (SHA256): 1b62b7c2ed7cc296ce821f977ef7b22bae59ef1dcdb9a34ae19467ee39bcf168.

Heruntergeladene VSIX-Payload (SHA256): 97c275e3406ad6576529f41604ad138c5bdc4297d195bf61b049e14f6b30adfd.

Heruntergeladene VSIX-Payload (SHA256): 97c275e3406ad6576529f41604ad138c5bdc4297d195bf61b049e14f6b30adfd.

Bösartiges GitHub-Hosting: github[.]com/SquadMagistrate10/wnxtgkih.

Bestätigte bösartige Erweiterungen: outsidestormcommand. monochromator-theme,boulderzitunnel. vscode-buddies.

Laut dem Socket Research Team müssen

Laut dem Socket Research Team müssen Entwickler die Publisher-Namespaces überprüfen und die Download-Zahlen sorgfältig prüfen, bevor sie Erweiterungen aus dem Open VSX Marketplace installieren. Sie uns auf

Kontaktieren Sie uns, um Ihre Geschichten zu präsentieren. Der Beitrag „73 Open VSX Sleeper Extensions Linked to GlassWorm Activate New Malware Campaign“ erschien zuerst bei Cyber Security News.