Die Steuerinfrastruktur von GlassWorm war auf Widerstandsfähigkeit gegen Abschaltungen ausgelegt. Die Betreiber kodierten C&C-Adressen in den Memo-Feldern von Blockchain-Transaktionen, die sich weder ändern noch löschen lassen. Über das BitTorrent-Netzwerk wurden Konfigurationsdaten gegen fest hinterlegte öffentliche Schlüssel abgelegt, in Google Calendar steckten Base64-kodierte C&C-Pfade in den Titeln von Kalendereinträgen, und die herkömmlichen Server hosteten die Schadcode-Pakete.

„Die Kombination aus Blockchain, Peer-to-Peer und legitimen Webdiensten als Auflösungsschichten war darauf ausgelegt, Abschaltungen zu überstehen — eine dynamische Fassade, die die eigentlichen C&C-Server hinter mehreren Ebenen der Verschleierung schützt“, erläutert CrowdStrike. Indem die Sicherheitsfirmen alle vier Kanäle gleichzeitig kappten, durchtrennten sie sowohl den Zugang der Betreiber zu den infizierten Rechnern als auch deren Fähigkeit, neue Befehle auszuliefern.

GlassWorm nutzt Unicode-Variation-Selectors, um seinen Code in Code-Editoren zu verbergen und für das menschliche Auge unsichtbar zu machen. Verbreitet wurde die Malware zunächst über trojanisierte Visual-Studio-Erweiterungen im OpenVSX-Marktplatz; im November tauchte sie zudem auf GitHub auf. 2026 setzten sich die Angriffe gegen VS-Entwickler und weitere Open-Source-Ökosysteme fort, im März wurden mehrere Python-Projekte kompromittiert.

„Die Betreiber hinter GlassWorm sind gut ausgestattet und hartnäckig. Über mehr als ein Jahr hinweg entwickelten sie sich kontinuierlich weiter: neue Programmiersprachen von JavaScript über Rust bis Zig, Ausweitung über Paket-Ökosysteme hinweg (VSCode, npm, PyPI, GitHub) und der Aufbau redundanter Infrastruktur, die Abschaltversuche überdauern sollte“, so CrowdStrike.

Die Schadsoftware ist darauf ausgelegt, sensible Informationen wie NPM-, GitHub- und Git-Zugangsdaten sowie Gelder aus Dutzenden Kryptowährungs-Erweiterungen zu stehlen. Zudem richtet sie SOCKS-Proxy-Server und versteckte VNC-Server für den Fernzugriff auf befallene Maschinen ein. Der Zugriff der Angreifer auf gestohlene Zugangsdaten begründete ein anhaltendes Risiko folgenreicher Lieferketten-Angriffe, das über die betroffenen Entwickler hinaus auch alle Abnehmer der möglicherweise kompromittierten Software traf.

Nach Einschätzung von CrowdStrike deuten Hinweise auf eine russische Herkunft der Betreiber hin: Die Malware prüft die Spracheinstellung des Systems und meidet Rechner in den GUS-Staaten, zudem enthält ihr Code russischsprachige Kommentare.

Neben der Zerschlagung der Infrastruktur wies CrowdStrike die infizierten Rechner an, die harmlose IP-Adresse 164.92.88[.]210 zu kontaktieren. Organisationen wird empfohlen, Verbindungen zu dieser Adresse zu prüfen, um mögliche Infektionen zu erkennen.