Glassworm verbreitete sich seit Oktober 2025 zunächst über manipulierte Erweiterungen für OpenVSX und Microsoft VS Code, die es auf Kryptowährungs-Wallets und Entwickler-Zugangsdaten abgesehen hatten. In späteren Wellen dehnten die Betreiber ihre Angriffe auf GitHub-Repositorys und npm-Pakete aus; eine Kampagne im März betraf nach den vorliegenden Angaben mehr als 400 Software-Artefakte.

Bei einem jüngeren Angriff platzierten die Glassworm-Betreiber dutzende ruhende Erweiterungen auf OpenVSX, deren bösartiger Teil erst nach einem Update aktiv werden sollte.

Dass sich die Bedrohung so lange halten konnte, lag laut CrowdStrike vor allem an ihrer Steuerungsinfrastruktur, die auf untypische und schwer abzuschaltende Kommunikationswege setzte. „Die Kombination aus Blockchain, Peer-to-Peer und legitimen Webdiensten als Auflösungsebenen war darauf ausgelegt, Abschaltungen zu widerstehen — eine dynamische Fassade, die die eigentlichen C2-Server hinter mehreren Ebenen der Verschleierung schützt“, erklärt CrowdStrike.

Die Betreiber hätten ihre Infrastruktur auf Widerstandsfähigkeit hin gebaut, so die Forscher. Genau diese Architektur machte ein gleichzeitiges Vorgehen gegen alle vier C2-Kanäle nötig: Hätte man nur einen einzelnen Kanal ausgeschaltet, wäre die Kommunikation einfach auf einen anderen ausgewichen, und die Angreifer hätten die Kontrolle behalten.

„Alle vier Kanäle mussten in einer koordinierten Aktion gleichzeitig gestört werden. Dadurch können infizierte Rechner keine neuen Anweisungen oder Schadkomponenten mehr empfangen“, teilt CrowdStrike mit. Die koordinierte Operation führten CrowdStrike, Google und die Shadowserver Foundation gemeinsam durch.

Nach der Störung senden alle bei einem Glassworm-Angriff kompromittierten Maschinen Signale an die von CrowdStrike betriebene IP-Adresse 164.92.88[.]210. Organisationen sollten gezielt nach diesem Netzwerk-Indikator suchen und umgehend Gegenmaßnahmen ergreifen. Zusätzlich haben die Forscher YARA-Regeln veröffentlicht, mit denen sich Infektionen auf verdächtigen Hosts bestätigen lassen.