IT-Sicherheitsforscher von Socket und Aikido Security haben die sogenannte GlassWorm-Kampagne identifiziert, die mit einer raffinerten Strategie aus „Sleeper-Erweiterungen“ operiert.
Allein in den letzten Tagen wurden Dutzende neue bösartige Komponenten aktiviert. Ihr Ziel: sensible Unternehmensdaten, Kryptowährungs-Wallets und Sitzungstokens entwenden.
Der Diebstahl von Sitzungstokens und sensiblen Firmendaten zeigt, wie gezielt Cyberkriminelle heute Schwachstellen in Unternehmen ausnutzen. Ein kostenloses E-Book liefert fundierte Informationen zu aktuellen Bedrohungen und zeigt, wie Sie Ihre IT-Sicherheit proaktiv stärken. Cyber Security Awareness Trends jetzt gratis herunterladen
Die Taktik der schlafenden Erweiterungen
Im Zentrum der Attacke steht der Open-VSX-Marktplatz für Softwareentwickler. Sicherheitsforscher entdeckten 73 neue Erweiterungen, die als „Sleeper-Applikationen“ gelten. Diese Programme wurden Anfang des Monats hochgeladen, verhielten sich aber wochenlang unauffällig.
Die Angreifer kopieren nicht nur den Funktionsumfang legitimer Tools, sondern auch Icons, Beschreibungen und Versionshistorien. In einem dokumentierten Fall imitierte ein gefälschtes Sprachpaket für Visual Studio Code ein offizielles Paket fast perfekt.
Erst durch ein nachträgliches Update verwandelt sich die harmlose Erweiterung in Schadsoftware. Sechs dieser 73 Erweiterungen wurden bereits aktiv für Malware-Auslieferungen genutzt.
Gefälschte Google-Docs-Erweiterung als Trojaner
Das Hauptziel der Angreifer ist eine gefälschte Chrome-Erweiterung, die sich als „Google Docs Offline“ tarnt. Nach der Installation agiert sie als Remote Access Trojaner (RAT). Die Schadsoftware kann den gesamten Browser-Datenverkehr überwachen und manipulieren.
Zu ihren Fähigkeiten gehören:
– Tastatureingaben protokollieren (Keylogging)
– Browser-Cookies auslesen
– Sitzungstokens stehlen
Besonders kritisch: Die gestohlenen Tokens ermöglichen es Angreifern, die Multi-Faktor-Authentifizierung zu umgehen. Sie übernehmen einfach bereits authentifizierte Verbindungen.
Die GlassWorm-v2-Variante sucht gezielt nach Informationen in Entwicklungsumgebungen wie Cursor oder Visual Studio Code. Das deutet auf technisch versierte Nutzer als Zielgruppe hin. Die gestohlenen Daten werden komprimiert an externe Server übertragen.
Blockchain als Steuerungszentrale
Die technische Innovation der Kampagne liegt in der Kommunikation zwischen infizierten Rechnern und Kontrollservern. Statt fester IP-Adressen nutzen die Täter das Prinzip des „Dead Drop Resolvers“ (DDR).
GlassWorm verwendet Memos innerhalb der Solana-Blockchain, um die aktuelle Adresse des C2-Servers zu übermitteln. Die Malware fragt öffentliche Transaktionsdaten ab, extrahiert versteckte Informationen und stellt dann eine Verbindung zum Zielserver her.
Diese Methode macht die Angreifer-Infrastruktur extrem widerstandsfähig gegen Takedowns. Für herkömmliche Sicherheitslösungen wirkt die Kommunikation wie legitimer Datenverkehr.
Zusätzlich wurden Fälle dokumentiert, in denen öffentliche Google-Kalender-URLs als Resolver dienten. Die Malware liest Termineinträge aus, um dort hinterlegte verschlüsselte Steuerbefehle zu finden.
Da Hacker immer raffiniertere Methoden wie manipulierte Browser-Erweiterungen nutzen, wird der Schutz der eigenen Online-Identität lebenswichtig. Dieser kostenlose PDF-Report erklärt, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Amazon, Microsoft oder WhatsApp ohne Passwort-Risiko absichern. Sicher und passwortlos: Gratis Passkey-Ratgeber anfordern
Das Wettrüsten eskaliert
Die Evolution von GlassWorm zeigt einen klaren Trend zu komplexeren Angriffsvektoren im Cloud-Umfeld. Statt einfacher Phishing-Mails setzen Cyberkriminelle nun auf die Kompromittierung vertrauenswürdiger Werkzeuge.
Bereits Anfang April warnten Experten vor Betrugsversuchen über Google-Kalender-Einträge. Die aktuelle GlassWorm-Aktivität professionalisiert dieses Vorgehen auf einer technischen Ebene weit über soziale Manipulation hinaus.
Parallel dazu verschärft Google seine Sicherheitsmaßnahmen. Am 27. April wurde eine massive Welle automatisierter Konten-Sperrungen gemeldet, die auf neuen KI-gestützten Erkennungsmodellen basiert.
Schutz für Verbraucher
Für Privatanwender gilt: Bei Browser-Erweiterungen kritisch sein – auch aus offiziellen Marktplätzen. Indikatoren für gefälschte Tools sind neu erstellte Anbieterprofile oder Drittanbieter-URLs für Updates.
Da GlassWorm gezielt Google Docs Offline imitiert, sollten bestehende Installationen verifiziert werden. Sicherheitsanalysten empfehlen, auf native Browser-Funktionen zurückzugreifen, ohne zusätzliche Hilfsprogramme.
Die effektivste Methode gegen gestohlene Sitzungstokens: Hardware-basierte Security Keys für die Multi-Faktor-Authentifizierung.
