loader image

Gefährlicher und unsichtbarer Wurm in Visual Studio Code-Extensions gefunden (GlassWorm)

In mehreren Erweiterungen für Visual Studio Code wurde eine neue Schadsoftware namens GlassWorm entdeckt. Besonders tückisch: Die betroffenen Erweiterungen waren zunächst völlig unauffällig und wurden von vielen Entwickler:innen ganz normal genutzt. Erst über spätere Updates wurde schädlicher Code eingeschleust. Auf diese Weise konnten Angreifende Schadsoftware direkt über offizielle Kanäle verbreiten, was vielen Nutzer:innen gar nicht auffällt.

GlassWorm nutzt gestohlene Zugangsdaten von Entwickler:innen, etwa von Plattformen wie npm oder GitHub, um eigene bösartige Pakete zu veröffentlichen und legitime Projekte zu verändern. Nach der Infektion durchsucht die Schadsoftware den Computer gezielt nach sensiblen Informationen, darunter auch Zugangsdaten zu Kryptowährungs-Wallets.

Im Hintergrund arbeitet ein sogenannter Remote-Access-Trojaner (RAT). Er verschleiert seinen Code und macht den Rechner zu einem sogenannten SOCKS-Proxy. Dadurch können Angreifende unbemerkt auf interne Netzwerke zugreifen und den Datenverkehr überwachen. Weil sich GlassWorm innerhalb regulärer Erweiterungsprozesse verbirgt, wird die Schadsoftware von klassischen Sicherheitslösungen nur schwer erkannt und stellt somit ein ernstes Risiko für Entwicklungsumgebungen und Unternehmensnetzwerke dar.

 SiBa empfiehlt:
• Entfernen oder deaktivieren Sie umgehend kürzlich aktualisierte oder ungewöhnliche VS Code-Extensions und prüfen Sie Versionsänderungen der Extensions.
• Rotieren Sie alle Entwickler-Zugangsdaten (npm/GitHub/Open-VSX/Credentials) und prüfen Sie auf unautorisierte Veröffentlichungen oder Commits.
• Überwachen Sie Netzwerkverkehr auf ungewöhnliche SOCKS-Proxy-Verbindungen und führen Sie forensische Überprüfungen kompromittierter Entwicklungsrechner durch.
• Beschränken Sie Erweiterungen in Unternehmensumgebungen auf einen whitelisting-basierten Katalog und setzen Sie Mehrfaktor-Authentifizierung für alle Entwicklerkonten durch.

Wer kann mir helfen?
BSI – Vorfall – Unternehmen
GitHub – Security

Wie schütze ich mich?

Microsoft Learn – Visual Studio-Erweiterbarkeit
Guide to Network Security Best Practices | Netwrix
DsiN – DiFü

Quelle der Meldung:
heise.de

Weitere Artikel aus der Kategorie Unternehmen und Arbeitsplatz

Alle sehen
19.11.2025

Störung bei Cloudflare legt Webseiten lahm – Webdienste betroffen

Am 18. November 2025 kam es zu einer großflächigen Störung bei Cloudflare, einem der weltweit größten Anbieter von Web-Sicherheits- und Performance-Services. Die Störung, die gegen 12:48 Uhr begann, führte zu massiven Ausfällen zahlreicher Webseiten und Onlinedienste. Betroffen waren unter anderem große Plattformen wie Twitter (jetzt X) sowie Cloud-Dienste wie Amazon Web Services (AWS), die auf Cloudflare als Sicherheitslösung angewiesen sind.  Die Störung zeigte sich in Form von 500-Fehlermeldungen auf vielen Webseiten, die Cloudflare einsetzen. Auch Problemen mit der API und der Verwaltungskonsole von Cloudflare selbst traten auf. Diese Ausfälle beeinträchtigten den Zugriff auf zahlreiche Dienste und sorgten für Verunsicherung bei betroffenen Nutzer:innen.  Cloudflare erklärte, dass die Ursache der Störung in einer internen Netzwerkfehlfunktion lag, die bis 13:21 Uhr größtenteils behoben werden konnte. Eine vollständige Wiederherstellung der Dienste erfolgte jedoch erst gegen 14:09 Uhr. Die betroffenen Webseiten und Dienste erhielten von Cloudflare während der Störung keine Zugriffskontrollen oder Sicherheitsfunktionen, was das Risiko für Nutzer:innen und Betreiber:innen erhöhte.  SiBa empfiehlt: 
  • Betreiber:innen von Cloudflare-geschützten Webseiten sollten prüfen, ob ihre Seiten durch die Störung betroffen waren und welche Sicherheitsmaßnahmen während der Ausfälle aktiv waren. 
  • Nutzer:innen sollten ihre Sicherheitseinstellungen für besuchte Webseiten im Falle von Ausfällen regelmäßig überprüfen. 
  • Um das Risiko in zukünftigen Vorfällen zu minimieren, empfehlen wir, Cloudflare-Dienste regelmäßig zu aktualisieren und alternative Sicherheitslösungen für Notfälle vorzubereiten. 
  • Bei Unsicherheiten bezüglich der Sicherheit von Webseiten sollten Nutzer:innen auf offizielle Mitteilungen von Cloudflare und betroffenen Dienstleistern achten. 
  Wer kann mir helfen?    Wie schütze ich mich?    Quelle: IT-Administrator 
05.11.2025

Cyberangriff auf Juwelierkette Christ Group: Kundendaten und Verträge betroffen

Am 04.11.2025 wurde bekannt, dass die Christ Group Ziel eines Cyberangriffs geworden ist. Betroffen sind personenbezogene Daten wie Kundennummern, Namen, Kontakt- und Adressdaten sowie Vertrags- und Kaufhistorien samt Einwilligungserklärungen. Finanzdaten, Passwörter oder Kreditkartendaten wurden laut Unternehmen nicht entwendet. Der technische Hintergrund: Unbefugte Dritte erhielten Zugriff auf Systeme des Unternehmens und konnten Daten abziehen. Es erfolgte keine Datenverschlüsselung (kein klassisches Ransomware-Szenario). Das Unternehmen betreibt über 200 Filialen in Deutschland und Österreich sowie einen Online-Vertrieb. Nach eigenen Angaben hatte Christ bereits vor dem Angriff verschiedene Sicherheitsmaßnahmen umgesetzt, darunter regelmäßige Penetrationstests, Mitarbeiterschulungen zur IT-Sicherheit, Multi-Faktor-Authentifizierung sowie weitere technische und organisatorische Schutzmaßnahmen. Infolge des Vorfalls kündigte das Unternehmen an, mittel- und langfristige Verbesserungen der Sicherheitsvorkehrungen zu erarbeiten und umzusetzen, um die Systeme künftig besser zu schützen. Für Kund:innen der Juwelierkette gilt nun besondere Vorsicht: Sie sollten aufmerksam auf verdächtige E-Mails, Anrufe, SMS oder Social-Media-Nachrichten achten, die Teil von möglichen Phishing- oder Social-Engineering-Angriffen sein könnten.   SiBa empfiehlt:
  • Unternehmen sollten Zugriffe und Rechte auf Kundendaten konsequent nach dem Prinzip des Least Privilege vergeben und regelmäßig prüfen.
  • Für betroffene Kund:innen empfiehlt sich erhöhte Wachsamkeit gegenüber Phishing-Versuchen, da Namen und Kontaktinformationen bekannt sein könnten.
  • Nach Sicherheitsvorfällen sollten Unternehmen ihre IT-Infrastruktur härten, etwa durch Penetrationstests, Mitarbeiterschulungen und den Einsatz moderner Authentifizierungsverfahren.
  • Kund:innen sollten regelmäßig ihre persönlichen Daten überprüfen (z. B. ob Adress- oder Vertragsdetails unautorisiert geändert wurden) und bei Auffälligkeiten unverzüglich reagieren.
    Wer kann mir helfen:   Wie schütze ich mich?   Quelle der Meldung: Cyberangriff auf Juwelierkette Christ Group: Kundendaten und Verträge betroffen – Security-Insider

Kontaktieren Sie uns

Kontaktieren Sie uns für
Ihre Anfrage gerne unter:

info@sicher-im-netz.de

(0) 30 767581-500

Presseanfragen richten
Sie bitte an:

presse@sicher-im-netz.de

(0) 30 767581-514

Postanschrift

Deutschland sicher im Netz e.V.
Albrechtstraße 10c 10117 Berlin

Schließen