MalwareCyberkriminalitätSchwachstellen

GlassWorm: Gefährliche Malware nutzt Solana-Blockchain für Krypto-Diebstahl

GlassWorm: Gefährliche Malware nutzt Solana-Blockchain für Krypto-Diebstahl
Zusammenfassung

Die GlassWorm-Malware-Kampagne erreicht eine neue Eskalationsstufe: Sicherheitsforscher haben eine erweiterte Version der persistenten Bedrohung entdeckt, die sich über manipulierte Softwarepakete auf npm, PyPI und GitHub verbreitet. Das Besondere an dieser Variante ist die ausgefeilte Nutzung der Solana-Blockchain als versteckter Kommunikationskanal – sogenannte "Dead Drops" – um Befehle an infizierte Systeme zu übermitteln und Malware nachzuladen. Die Schadsoftware kombiniert mehrere Angriffsvektoren: Sie installiert eine gefälschte Chrome-Extension, stiehlt Anmeldedaten und Kryptowallet-Daten, protokolliert Tastenanschläge und führt Hardware-Wallet-Phishing-Attacken durch, die speziell auf Ledger- und Trezor-Wallets abzielen. Besonders bemerkenswert ist die Erstinfiltration in das Model Context Protocol (MCP)-Ökosystem, das zunehmend für KI-gestützte Entwicklung genutzt wird. Deutsche Entwickler und Unternehmen sind unmittelbar gefährdet, da sie häufig Open-Source-Pakete aus diesen Repositorys nutzen. Auch Kryptowallet-Besitzer und allgemeine Windows- sowie macOS-Nutzer könnten kompromittiert werden. Cybersicherheitsbehörden sollten diese Kampagne als hochgradig relevant einstufen, da sie zeigt, wie Supply-Chain-Attacken und Blockchain-Technologie für fortgeschrittene Bedrohungen kombiniert werden.

Die GlassWorm-Kampagne zeigt, wie Cyberkriminelle ihre Methoden kontinuierlich an neue Technologien anpassen. Der aktuelle Angriffsverlauf beginnt mit infizierten Softwarepaketen, die über vertrauenswürdige Entwickler-Plattformen verteilt werden. Was die Kampagne besonders raffiniert macht: Die Angreifer vermeiden es, Systeme mit russischen Spracheinstellungen zu infizieren — ein Hinweis auf die geografische Ausrichtung ihrer Operationen.

Das Herzstück der neuen Kampagne ist die Nutzung der Solana-Blockchain als Dead-Drop-Resolver. Statt direkter Verbindungen zu Command-and-Control-Servern verstecken die Angreifer ihre Befehle in Solana-Transaktionsmemos. Dies macht die Infrastruktur deutlich schwieriger zu zerstören, da die Blockchain dezentralisiert ist. Die identifizierten IP-Adressen sind 45.32.150.251 und 217.69.3.152.

Im zweiten Stadium der Attacke wird eine Daten-Diebstahl-Framework installiert, die Zugangsdaten, Kryptowallet-Informationen und Systemdaten sammelt. Besonders bedrohlich ist die Komponente, die Ledger- und Trezor-Hardware-Wallets angreift: Wenn diese über USB angeschlossen werden, zeigt die Malware gefälschte Fehlermeldungen an und fordert die Nutzer auf, ihre 24-wort-Recovery-Phrases einzugeben.

Der installierte Chrome-Extension namens “Google Docs Offline” ist eine weitere Gefahr. Dieser masiert sich als legitimes Google-Tool und sammelt Cookies, Session-Token, Screenshots, Tastatureingaben und Verlaufsdaten. Besonders problematisch: Die Extension überwacht gezielt Börsenplattformen wie Bybit und leitet Authentifizierungs-Cookies an die Angreifer weiter.

Die neueste Entwicklung ist die Expansion in das MCP-Ökosystem. GlassWorm-Betreiber haben begonnen, gefälschte MCP-Server zu veröffentlichen, die speziell für die KI-gestützte Softwareentwicklung konzipiert sind. Dies markiert eine strategische Verschiebung hin zu Entwickler-Tools, die als vertrauenswürdig gelten.

Experten empfehlen Entwicklern dringend, Publisher-Namen zu überprüfen, Paket-Historien zu analysieren und nicht blind auf Download-Zahlen zu vertrauen. Das polnische Sicherheitsunternehmen AFINE hat ein Open-Source-Tool namens “glassworm-hunter” veröffentlicht, das Entwickler-Systeme auf GlassWorm-Payload scannen kann — ohne dabei Netzwerkverbindungen aufzubauen.

Ähnliche Artikel