Kryptowährungsinhaber im OpenVSX-Netzwerk stehen vor einer drohenden Bedrohung, da böswillige Akteure es auf die Plünderung digitaler Vermögenswerte abgesehen haben.
GlassWorm, eine bekannte Malware, hat 73 schädliche Erweiterungen in die Registrierung von OpenVSX aufgenommen. Hacker nutzen es, um die Krypto-Wallets und andere Daten der Entwickler zu stehlen.
Sicherheitsforscher fanden heraus, dass sechs Erweiterungen bereits zu aktiven Nutzlasten geworden sind. Die Erweiterungen wurden als gefälschte Kopien bekannter Einträge hochgeladen, die nicht schädlich waren. Laut einem Bericht von Socket kommt der fehlerhafte Code in einem späteren Update.
GlassWorm-Malware greift Krypto-Entwickler an
Im Oktober 2025 erschien GlassWorm erstmals. Es nutzte unsichtbare Unicode-Zeichen, um Code zu verbergen, der darauf abzielte, Krypto-Wallet-Daten und Entwickler-Anmeldeinformationen zu stehlen. Die Kampagne hat sich seitdem auf npm-Pakete, GitHub-Repositorys, den Visual Studio Code Marketplace und OpenVSX ausgeweitet.
Mitte März 2026 traf eine Welle Hunderte von Repositories und Dutzende Erweiterungen, doch ihre Größe erregte die Aufmerksamkeit der Menschen. Mehrere Forschungsgruppen bemerkten die Aktivität frühzeitig und halfen, sie zu stoppen.
Die Angreifer scheinen ihr Vorgehen geändert zu haben. Die neueste Charge bettet Malware nicht sofort ein; Stattdessen wird ein verzögertes Aktivierungsmodell verwendet. Es sendet eine saubere Erweiterung, baut eine Installationsbasis auf und sendet dann ein fehlerhaftes Update.
„Geklonte oder imitierende Erweiterungen werden zunächst ohne offensichtliche Nutzlast veröffentlicht und dann später aktualisiert, um Malware zu übertragen“, sagten Socket-Forscher.
Sicherheitsforscher haben drei Möglichkeiten gefunden, den Schadcode über die 73 Erweiterungen hinweg zu verbreiten. Eine Möglichkeit besteht darin, ein zweites VSIX-Paket von GitHub zu verwenden, während das Programm ausgeführt wird, und es mithilfe von CLI-Befehlen zu installieren. Eine andere Methode lädt plattformspezifische kompilierte Module wie [.]Knotendateien, die die Kernlogik enthalten, einschließlich Routinen zum Abrufen weiterer Nutzlasten.
Eine dritte Möglichkeit nutzt stark verschleiertes JavaScript, das zur Laufzeit dekodiert, um schädliche Erweiterungen herunterzuladen und zu installieren. Es verfügt außerdem über verschlüsselte oder Fallback-URLs zum Abrufen der Nutzdaten.
Die Erweiterungen sehen echten Angeboten sehr ähnlich.
In einem Fall kopierte der Angreifer das Symbol der echten Erweiterung und gab ihr einen Namen und eine Beschreibung, die nahezu identisch waren. Der Herausgebername und die eindeutige Kennung zeichnen sie aus, aber die meisten Entwickler schauen sich diese Dinge vor der Installation nicht genau an.
GlassWorm ist für die Suche nach Zugriffstokens, Krypto-Wallet-Daten, SSH-Schlüsseln und Informationen über die Entwicklerumgebung konzipiert.
Krypto-Wallets werden ständig von Hackern angegriffen
Die Bedrohung geht über reine Krypto-Wallets hinaus. Ein anderer, aber damit zusammenhängender Vorfall zeigt, wie sich Angriffe auf die Lieferkette über die Infrastruktur von Entwicklern ausbreiten können.
Am 22. April hostete die npm-Registrierung 93 Minuten lang eine fehlerhafte Version von Bitwardens CLI unter dem offiziellen Paketnamen @bitwarden/cli@2026.4.0. JFrog, ein Sicherheitsunternehmen, stellte fest, dass die Nutzlast GitHub-Tokens, NPM-Tokens, SSH-Schlüssel, AWS- und Azure-Anmeldeinformationen sowie GitHub Actions-Geheimnisse gestohlen hat.
Die Analyse von JFrog ergab, dass das gehackte Paket den Installations-Hook und den binären Einstiegspunkt geändert hat, um die Bun-Laufzeitumgebung zu laden und eine verschleierte Nutzlast auszuführen, sowohl während der Installation als auch während der Ausführung.
Nach eigenen Angaben hat Bitwarden mehr als 50.000 Unternehmen und 10 Millionen Nutzer. Socket brachte diesen Angriff mit einer größeren Kampagne in Verbindung, die von Checkmarx-Forschern verfolgt wurde, und Bitwarden bestätigte den Zusammenhang.
Das Problem hängt davon ab, wie npm und andere Register funktionieren. Angreifer nutzen die Zeit zwischen der Veröffentlichung eines Pakets und der Überprüfung seines Inhalts aus.
Sonatype hat im Jahr 2025 etwa 454.600 neue Schadpakete entdeckt, die Register befallen. Bedrohungsakteure, die sich Zugriff auf Krypto-Verwahrung, DeFi und Token-Launchpads verschaffen wollen, haben damit begonnen, Register ins Visier zu nehmen und bösartige Workflows freizugeben.
Für Entwickler, die eine der 73 gemeldeten OpenVSX-Erweiterungen installiert haben, empfiehlt Socket, alle Geheimnisse zu rotieren und ihre Entwicklungsumgebungen zu bereinigen.
Als nächstes gilt es zu beobachten, ob die verbleibenden 67 ruhenden Erweiterungen in den kommenden Tagen aktiviert werden und ob OpenVSX zusätzliche Überprüfungskontrollen für Erweiterungsaktualisierungen implementiert.