MalwareSupply-Chain-AttackenCyberkriminalität

GlassWorm-Malware: 433 kompromittierte Pakete auf GitHub, npm und VSCode entdeckt

GlassWorm-Malware: 433 kompromittierte Pakete auf GitHub, npm und VSCode entdeckt
Zusammenfassung

Die Malware-Kampagne GlassWorm ist mit verstärktem Elan zurückgekehrt und hat in diesem Monat über 433 kompromittierte Komponenten auf GitHub, npm und den Visual Studio Code-Erweiterungsmärkten ins Visier genommen. Forscher von Aikido, Socket, Step Security und der OpenSourceMalware-Community haben koordiniert eine massive Supply-Chain-Attacke dokumentiert, die zeigt, dass ein einzelner Threat Actor dahintersteckt – erkennbar an der wiederkehrenden Solana-Blockchain-Adresse für Command-and-Control-Aktivitäten und identischen Payload-Strukturen. Seit ihrer Entdeckung im Oktober 2024 nutzt GlassWorm raffinierte Techniken wie unsichtbare Unicode-Zeichen, um bösartigen Code zu verschleiern und Kryptowallet-Daten sowie Entwickler-Anmeldedaten zu stehlen. Die aktuelle Welle ist deutlich umfangreicher und erstreckt sich auch auf macOS-Systeme mit trojanisierten Clients für Hardware-Wallets. Für deutsche Entwickler, Open-Source-Nutzer und Unternehmen stellt dies ein erhebliches Risiko dar, da viele auf npm-Pakete und VSCode-Erweiterungen angewiesen sind. Besonders kritisch ist der Fokus auf Entwickler-Credentials und SSH-Schlüssel, die für den Zugriff auf unternehmenseigene Infrastruktur missbraucht werden könnten. Entwickler sollten ihre Systeme sofort auf Kompromittierungszeichen überprüfen und ihre Git-Historien auf verdächtige Commit-Anomalien kontrollieren.

Die GlassWorm-Malware-Kampagne offenbart ein neues Ausmaß von Supply-Chain-Attacken in der Open-Source-Welt. Erstmals im Oktober 2025 beobachtet, hat sich die Kampagne inzwischen zu einer der größten koordinierten Angriffsserien entwickelt, die mehrere Plattformen parallel infiltriert.

Wie die Attacke funktioniert

Die Angreifer folgen einem bewährten Schema: Sie kompromittieren zunächst GitHub-Konten, um dann malicious Commits zu erzwingen. Anschließend werden bösartige Pakete und Extensions auf npm, VSCode und OpenVSX veröffentlicht. Um der Erkennung zu entgehen, verwenden die Täter sogenannte “unsichtbare” Unicode-Zeichen zur Code-Obfuskation. Dies macht die Malware für automatisierte Scanning-Tools praktisch unsichtbar.

Besonders raffiniert ist der Command-and-Control-Mechanismus: Das Malware-Sample queried alle fünf Sekunden die Solana Blockchain ab. Zwischen November 2025 und März 2026 erfolgten 50 neue Transaktionen, überwiegend zur Payload-URL-Aktualisierung. Die Anweisungen sind als Memos in den Blockchain-Transaktionen eingebettet und führen zum Download der Node.js-Runtime und der Ausführung eines JavaScript-basierten Info-Stealers.

Ziele der Attacke

Die Malware hat es gezielt auf sensible Daten abgesehen: Kryptowallet-Daten, Entwickler-Credentials, Access-Tokens, SSH-Schlüssel und Entwicklerumgebungs-Daten. macOS-Systeme wurden mit trojanisierten Clients für Hardware-Wallets wie Trezor und Ledger infiziert. Damit verbinden die Angreifer zwei Ziele: Sie plündern sowohl Entwickler-Infrastruktur als auch Kryptovermögen.

Attribution und Prävention

Code-Kommentare und die Tatsache, dass die Malware bei Erkennung russischer Systemlokale die Ausführung überspringt, deuten auf russischsprachige Täter hin. Allerdings warnen Analysten, dass diese Informationen für sichere Attribution unzureichend sind.

Für Entwickler empfehlen Experten mehrere Maßnahmen: Sie sollten ihre Codebasis nach dem Marker-String “lzcdrtfxyqiplpd” durchsuchen und auf verdächtige Dateien wie ~/init.json oder unerwartet installierte Node.js-Versionen prüfen. Auch Git-Commit-Historien sollten auf Anomalien überprüft werden, etwa wenn Committer-Datum und Author-Datum stark divergieren.

Diese Kampagne unterstreicht ein fundamentales Sicherheitsproblem: Open-Source-Repositorys und Package-Manager sind zum Hauptangriffsvektor für Cyberkriminelle geworden. Deutsche Unternehmen, die auf quelloffene Software setzen, sollten ihre Dependency-Management-Prozesse kritisch überprüfen.

Ähnliche Artikel