MalwareHackerangriffeSchwachstellen

GlassWorm-Malware zerschlagen: Großangelegte Attacke auf Developer-Ökosystem gestoppt

Von CyberDeutsch Redaktion
GlassWorm-Malware zerschlagen: Großangelegte Attacke auf Developer-Ökosystem gestoppt
Zusammenfassung

Die Malware-Kampagne GlassWorm hat Softwareentwickler monatelang systematisch ins Visier genommen, um über kompromittierte Entwicklerkonten in Millionen von Systemen weltweit einzudringen. CrowdStrike, Google und die Shadowserver Foundation haben nun koordiniert alle Kommando- und Kontrollkanäle dieser Bedrohung zerschlagen, die seit mindestens Anfang 2025 über manipulierte VS Code-Erweiterungen und gehackte npm- sowie Python-Pakete verbreitet wurde. Die Kampagne zielt darauf ab, Entwicklern Zugangsdaten, Kryptowallet-Daten und Systemzugriff zu stehlen, um anschließend ganze Software-Repositories zu vergiften – bislang über 300 auf GitHub. Für deutsche Unternehmen und Behörden ist dies von kritischer Bedeutung, da sie als Konsumenten von Open-Source-Software und Cloud-Diensten direkt der Ansteckungsgefahr ausgesetzt sind. Besonders gefährlich ist die Infrastruktur der Angreifer: Sie nutzen vier redundante Kommunikationskanäle mit Blockchain-, Peer-to-Peer- und legitimen Web-Services, um sich gegen Abschaltungen zu schützen. Die russischsprachigen Code-Kommentare und die Blockierung in GUS-Ländern deuten auf russische Cyberkriminelle hin. Dieser Vorfall unterstreicht ein fundamentales Sicherheitsrisiko der modernen Softwareentwicklung: Während einzelne Entwickler leicht kompromittiert werden können, verteilen sich die Schäden exponentiell über die gesamte Lieferkette.

Die Infrastruktur hinter GlassWorm ist gefallen. In einer koordinierten Aktion haben drei große Akteure – der Sicherheitsanbieter CrowdStrike, Googles Threat Intelligence Team und die Shadowserver Foundation – alle vier Command-and-Control-Kanäle der Malware gleichzeitig neutralisiert. Damit können infizierte Systeme keine neuen Anweisungen oder Payloads mehr empfangen.

GlassWorm war ein besonders raffiniertes Bedrohungszenario für die Developer-Community: Die Angreifer verteilten trojanisierte VS-Code-Extensions sowohl über den offiziellen Microsoft VS Code Marketplace als auch über Open VSX – wodurch auch Nutzer von VS-Code-Forks wie Cursor, Positron, Windsurf und VSCodium getroffen wurden. Parallel dazu wurden manipulierte npm- und Python-Pakete in die Ökosysteme eingepflanzt.

Das Ziel war klar: Einmal auf dem Entwickler-Rechner installiert, dienten die Malware-Varianten als Einfallstor für ein Daten-Diebstahl-Framework. Es extrahierte Zugangsdaten (GitHub-, NPM- und OpenVSX-Token, Krypto-Wallets), installierte eine bösartige Chrome-Extension zur Erfassung von Screenshots, Tastaturanschlägen und Zwischenablage-Inhalten und verwandelte infizierte Hosts in versteckte Netzwerk-Infrastruktur: SOCKS-Proxies, Hidden-VNC-Server und Remote-Execution-Knoten über WebRTC oder Node.js-Prozesse.

Besonders bemerkenswert war die Resilienz-Architektur: Die vier C2-Kanäle basierten auf einer Kombination von Blockchain, Peer-to-Peer-Systemen und legitimen Webservices als Umleitungsebenen – ein System, das speziell gegen Takedowns gehärtet werden sollte. Trotzdem gelang die gleichzeitige Neutralisierung aller vier Kanäle.

Die Bilanz ist beeindruckend und besorgniserregend zugleich: Über 300 GitHub-Repositories wurden mit gestohlenen Developer-Credentials vergiftet. CrowdStrike ordnet die Aktivitäten russischen Cyberkriminellen zu – basierend auf Ausführungsstops in CIS-Ländern und russischen Kommentaren im Code.

Für deutsche Unternehmen und Entwickler liegt die Warnung auf der Hand: Die Softwarelieferkette bleibt eine der verwundbarsten Angriffsachsen überhaupt. Jede Organisation, die Open-Source-Komponenten nutzt, erbt automatisch die Sicherheitsrisiken aller ihre Abhängigkeiten. Das BSI und das Bundesamt für Sicherheit in der Informationstechnik sollten diese Vorfälle zum Anlass nehmen, verstärkte Guidance zu Developer-Environment-Security und Supply-Chain-Validation bereitzustellen.

Ähnliche Artikel