Die zweite Stufe der Infektionskette ist ein Framework zum Datendiebstahl mit Funktionen zum Abgreifen von Zugangsdaten, zur Exfiltration von Kryptowährungs-Wallets und zur Systemprofilerstellung. Die gesammelten Daten werden in einem ZIP-Archiv komprimiert und an einen externen Server (“217.69.3[.]152/wall”) übertragen. Dieselbe Komponente kann zudem die finale Payload nachladen und starten.

Im Anschluss holt die Angriffskette zwei weitere Bausteine nach: eine .NET-Binärdatei für das Phishing von Hardware-Wallets sowie einen WebSocket-basierten JavaScript-RAT, der Browserdaten abgreift und beliebigen Code ausführt. Der RAT wird von “45.32.150[.]251” bezogen, wobei die URL eines öffentlichen Google-Calendar-Termins als Dead-Drop-Resolver dient.

Die .NET-Binärdatei nutzt die Windows Management Instrumentation (WMI), um angeschlossene USB-Geräte zu erkennen. Wird eine Hardware-Wallet von Ledger oder Trezor eingesteckt, blendet sie ein Phishing-Fenster ein. “Die Ledger-Oberfläche zeigt einen gefälschten Konfigurationsfehler und 24 nummerierte Eingabefelder für die Wiederherstellungsphrase”, so Makari. Bei Trezor erscheine die gefälschte Meldung “Firmware-Validierung fehlgeschlagen, Notfall-Neustart wird eingeleitet”, ebenfalls mit dem Layout für 24 Wörter; beide Fenster enthielten eine Schaltfläche “RESTORE WALLET”.

Die Malware beendet laufende Ledger-Live-Prozesse auf dem Windows-Host und zeigt das Phishing-Fenster erneut an, wenn das Opfer es schließt. Ziel ist es, die Wiederherstellungsphrase der Wallet abzufangen und an die IP-Adresse “45.150.34[.]158” zu senden.

Der RAT bezieht seine C2-Details über eine Distributed Hash Table (DHT); liefert dieser Mechanismus kein Ergebnis, weicht die Schadsoftware auf den Solana-basierten Dead Drop aus. Anschließend nimmt der RAT Verbindung zum Server auf, um verschiedene Befehle auszuführen.

Darüber hinaus installiert der RAT auf Windows- und macOS-Systemen zwangsweise eine Google-Chrome-Erweiterung namens “Google Docs Offline”, die als Offline-Variante von Google Docs getarnt ist. Über ihren C2-Server kann sie unter anderem Cookies, localStorage, den vollständigen DOM-Baum des aktiven Tabs, Lesezeichen, Screenshots, Tastatureingaben, Zwischenablage-Inhalte, bis zu 5.000 Einträge des Browserverlaufs sowie die Liste installierter Erweiterungen erfassen.

Laut Aikido betreibt die Erweiterung auch gezielte Sitzungsüberwachung: Sie ruft Regeln für überwachte Seiten von “/api/get-url-for-watch” ab und ist ab Werk auf Bybit (.bybit.com) ausgerichtet, wo sie auf die Cookies “secure-token” und “deviceid” achtet. Bei einem Treffer löst sie einen Webhook an “/api/webhook/auth-detected” aus, der das Cookie-Material und Seiten-Metadaten enthält. Der C2-Server kann zudem Weiterleitungsregeln vorgeben, die aktive Tabs auf von den Angreifern kontrollierte URLs zwingen.

Parallel verzeichnen die Forscher eine weitere Verschiebung der GlassWorm-Taktik: Die Angreifer veröffentlichten npm-Pakete, die den WaterCrawl-MCP-Server (Model Context Protocol) imitieren ("@iflow-mcp/watercrawl-watercrawl-mcp"). “Das ist GlassWorms erster bestätigter Vorstoß in das MCP-Ökosystem”, sagte der Koi-Forscher Lotan Sery. Angesichts des rasanten Wachstums KI-gestützter Entwicklung und des Vertrauens, das MCP-Servern bauartbedingt entgegengebracht werde, werde es nicht der letzte bleiben.

Entwicklern wird geraten, bei der Installation von Open-VSX-Erweiterungen, npm-Paketen und MCP-Servern vorsichtig zu sein, Veröffentlicher-Namen und Paket-Historien zu prüfen und Download-Zahlen nicht blind zu vertrauen. Das polnische Sicherheitsunternehmen AFINE hat das quelloffene Python-Werkzeug “glassworm-hunter” veröffentlicht, das Entwicklersysteme auf zugehörige Payloads durchsucht. Laut den Forschern Paweł Woyke und Sławomir Zakrzewski stellt das Tool beim Scannen keinerlei Netzwerkanfragen, sendet keine Telemetrie und liest ausschließlich lokale Dateien; nur der Update-Befehl lädt die aktuelle IoC-Datenbank von GitHub nach.