Die Glassworm‑Kampagne kehrte mit Dutzenden bösartiger Pakete in den Erweiterungs‑Marktplätzen von VS Code und Visual Studio zurück, die Tokens, Zugangsdaten und Quellcode exfiltrieren. Sicherheitsteams werden dringend aufgefordert, nicht genehmigte Erweiterungen zu blockieren, Supply‑Chain‑Scans durchzuführen und CI/CD‑ sowie Repository‑Tokens auf anomale Nutzung zu überwachen.

Sicherheitsteams beobachten ein Wiederaufleben der Glassworm-Kampagne, die bösartige Pakete verbreitet, die als legitime Entwicklerwerkzeuge und -utilities in den Extension-Marktplätzen von Visual Studio und VS Code getarnt sind. Die bösartigen Erweiterungen sind darauf ausgelegt, Entwickler-Tokens, API-Schlüssel, Versionskontroll-Zugangsdaten und Quellcode zu ernten und so einen unauffälligen lateralen Angriffsweg in Build-Systeme, CI/CD-Pipelines und interne Repositorien zu schaffen. Mit Zugriff auf Tokens und Zugangsdaten können Angreifer Build-Artefakte manipulieren, bösartige Abhängigkeiten einfügen oder geistiges Eigentum und sensible Konfigurationen exfiltrieren. Die Kampagne stellt eine gezielte Lieferkettenbedrohung dar, die das Vertrauen der Entwickler in Extension-Marktplätze und die erhöhten Privilegien ausnutzt, die Entwickler-Tooling-Befehle häufig besitzen. Empfohlene Abwehrmaßnahmen umfassen das Durchsetzen von zulässigen Listen für Erweiterungen, die Integration von Supply‑Chain-Scanning in CI-Workflows, das Rotieren von auf Entwicklergeräten gespeicherten Tokens und Geheimnissen sowie die Überwachung der Token-Nutzung und der Repository-Aktivitäten auf Anomalien. Vorfallreaktions-Teams raten außerdem zur sofortigen Widerrufung kompromittierter Tokens, zur forensischen Analyse von Build-Logs und zu koordinierter Offenlegung, falls Drittanbieter-Codebasen oder Kunden betroffen sein könnten.