← Zurück zum Blog
Sicherheitsbriefing4 min read2026-04-28

Sicherheitsbriefing, 28. April 2026: Robinhood-Phishing-Mails, PyPI-Infostealer und GlassWorm-Sleeper-Extensions

Die Lektion heute Morgen ist hässlich und simpel: vertrautes Onboarding, vertraute Paketmanager und vertraute Editor-Marktplätze werden selbst zum Transportweg für Angriffe.


Kurz gesagt: Drei Geschichten zählen jetzt: Angreifer-Inhalte in echten Robinhood-Mails, ein gefälschtes Open-Source-Release mit Secret-Stealer und verzögert aktivierbare VS-Code-Extensions.


1. Robinhoods Onboarding-Flow wurde zum Phishing-Kanal verbogen

Angreifer missbrauchten Robinhoods Kontoerstellung, um HTML in echte Login-Warnmails von noreply@robinhood.com einzuschleusen. Die Nachrichten bestanden SPF und DKIM, wirkten legitim und leiteten Opfer auf eine Phishing-Seite. Die Lehre ist hart: Absendervertrauen allein ist wertlos, wenn Inhalte nicht sauber bereinigt werden.


2. elementary-data auf PyPI machte aus einem normalen Release-Flow Credential-Diebstahl

Das populäre Paket elementary-data wurde über GitHub-Actions-Script-Injection kompromittiert. Dadurch wurde ein Workflow-Token offengelegt und ein signiertes Release gefälscht. Version 0.23.3 verteilte anschließend einen Infostealer für SSH-Schlüssel, Cloud-Zugangsdaten, CI-Secrets, Wallet-Dateien und Entwicklerumgebungen, inklusive Container-Images.


3. GlassWorms 73 OpenVSX-Sleeper-Extensions zeigen leisere Supply-Chain-Angriffe

Socket fand 73 OpenVSX-Extensions mit Bezug zu GlassWorm, sechs davon waren bereits aktiv. Der neue Trick ist Geduld: erst harmlos aussehen, Vertrauen aufbauen und die Nutzlast erst mit einem späteren Update nachladen. Das ist dieselbe Ökosystem-Ausnutzung, nur schlauer und fieser.


Was Sicherheitsteams heute tun sollten

  1. Prüfen Sie jede E-Mail-Vorlage erneut, die Kunden- oder Gerätedaten zurückspiegelt.
  2. Suchen Sie nach dem kompromittierten PyPI-Paket und erzwingen Sie Secret-Rotation dort, wo es lief.
  3. Inventarisieren Sie VS-Code- und OpenVSX-Extensions über die Entwicklerflotte, bevor die nächste Update-Welle einschlägt.
  4. Behandeln Sie Vertrauensflächen nicht mehr als UX-Detail. Sie sind jetzt Angriffsfläche.

Quellen


Fazit: Das Muster heute ist keine exotische Malware. Es ist gewöhnliches Vertrauen, das in einen Transportkanal verwandelt wird. Wenn ein Workflow, Template oder Marktplatz banal wirkt, haben Angreifer ihn längst bemerkt.

Finden Sie die Vertrauenspfade, die Angreifer bereits testen

KENSAI hilft Teams dabei, exponierte Workflows, riskante Abhängigkeiten und blinde Flecken auf Entwickleroberflächen zu kartieren, bevor daraus echte Vorfälle werden.

Kostenlosen Scan starten →

Bleiben Sie scharf.

🗡️ KENSAI Security Team