Das GlassWorm-Botnettz bestand aus einer bemerkenswert komplexen Infrastruktur, die zeigt, wie organisiert und gut finanziert die Betreiber waren. Die Malware nutzte vier unterschiedliche Kommandozentralen: Erstens die Solana-Blockchain, in deren Transaktions-Memo-Felder die Angreifer C&C-Adressen codierten – ein genialer Schachzug, da Blockchain-Einträge nicht gelöscht oder verändert werden können. Zweitens das BitTorrent-P2P-Netzwerk, das zur Speicherung von Konfigurationsdaten gegen gehärtete öffentliche Schlüssel diente. Drittens Google Calendar, in dessen Event-Titeln Base64-kodierte C&C-Pfade versteckt waren. Viertens traditionelle Server bei kommerziellen VPS-Anbietern. Diese Redundanz war bewusst konstruiert – ein dynamischer Schutzschild hinter mehreren Ebenen der Umleitung.
Die technische Ausführung war besonders raffiniert: GlassWorm nutzte Unicode-Variations-Selektoren, um seinen Code in Code-Editoren unsichtbar zu machen – menschliches Auge konnte ihn nicht sehen. Die Verbreitung erfolgte über trojanisierte Visual-Studio-Extensions im OpenVSX-Marketplace, später auch auf GitHub. Im Laufe von über einem Jahr zeigte sich die Anpassungsfähigkeit der Operatoren: Sie wechselten zwischen JavaScript, Rust und Zig, befallen npm-, PyPI- und weitere Package-Ökosysteme.
Das Schadprogramm war ein echter Dieb: Es entwendete Anmeldedaten aus npm, GitHub und Git, plünderte Kryptowährungen aus Dutzenden von Browser-Erweiterungen und installierte SOCKS-Proxy-Server sowie versteckte VNC-Server für Fernzugriff. Für deutsche Entwickler und Unternehmen ist dies besonders alarmierend, da der Quelltext vieler europäischer Open-Source-Projekte betroffen hätte sein können.
Die Geheimdienste gehen davon aus, dass die Operatoren russischen Ursprungs sind – das Malware-Code enthielt russischsprachige Kommentare und prüfte das System-Locale, um Infektionen in GUS-Ländern zu vermeiden.
Die Disruption war koordiniert und effektiv: Alle vier Kanäle wurden simultan abgeschaltet. Zusätzlich leiteten die Sicherheitsfirmen infizierte Maschinen auf die Benign-IP 164.92.88.210 um. Organisationen sollten ihre Netzwerkverkehr überprüfen, um mögliche Infektionen zu identifizieren.
Doch CrowdStrike warnt vor Illusion: Dies war nicht nur ein Sieg über einen Botnettz, sondern ein Weckruf. GlassWorm markiert einen Paradigmenwechsel in der Bedrohungslandschaft – Angreifer zielen nicht mehr nur auf Produkte, sondern auf die Entwickler selbst. Solange Developer-Umgebungen, Build-Pipelines und Code-Repositories untergeschützt bleiben, erben alle Software-Konsumenten die Risiken aller Software-Produzenten.