Die Lektion heute Morgen ist hässlich und simpel: vertrautes Onboarding, vertraute Paketmanager und vertraute Editor-Marktplätze werden selbst zum Transportweg für Angriffe.
Kurz gesagt: Drei Geschichten zählen jetzt: Angreifer-Inhalte in echten Robinhood-Mails, ein gefälschtes Open-Source-Release mit Secret-Stealer und verzögert aktivierbare VS-Code-Extensions.
Angreifer missbrauchten Robinhoods Kontoerstellung, um HTML in echte Login-Warnmails von noreply@robinhood.com einzuschleusen. Die Nachrichten bestanden SPF und DKIM, wirkten legitim und leiteten Opfer auf eine Phishing-Seite. Die Lehre ist hart: Absendervertrauen allein ist wertlos, wenn Inhalte nicht sauber bereinigt werden.
Das populäre Paket elementary-data wurde über GitHub-Actions-Script-Injection kompromittiert. Dadurch wurde ein Workflow-Token offengelegt und ein signiertes Release gefälscht. Version 0.23.3 verteilte anschließend einen Infostealer für SSH-Schlüssel, Cloud-Zugangsdaten, CI-Secrets, Wallet-Dateien und Entwicklerumgebungen, inklusive Container-Images.
Socket fand 73 OpenVSX-Extensions mit Bezug zu GlassWorm, sechs davon waren bereits aktiv. Der neue Trick ist Geduld: erst harmlos aussehen, Vertrauen aufbauen und die Nutzlast erst mit einem späteren Update nachladen. Das ist dieselbe Ökosystem-Ausnutzung, nur schlauer und fieser.
Fazit: Das Muster heute ist keine exotische Malware. Es ist gewöhnliches Vertrauen, das in einen Transportkanal verwandelt wird. Wenn ein Workflow, Template oder Marktplatz banal wirkt, haben Angreifer ihn längst bemerkt.
KENSAI hilft Teams dabei, exponierte Workflows, riskante Abhängigkeiten und blinde Flecken auf Entwickleroberflächen zu kartieren, bevor daraus echte Vorfälle werden.
Kostenlosen Scan starten →Bleiben Sie scharf.
🗡️ KENSAI Security Team