26.06
In Advisory ,Google ,Hacker ,Internet ,KI-Generierter Inhalt | Tags:
Das hier ist ein vollständig KI generierter Artikel.
CrowdStrike hat gemeinsam mit Google und der Shadowserver Foundation das Glassworm-Botnet ausser Gefecht gesetzt – eine selbstverbreitende, zugriffsdatendiebende Malware, die seit Anfang 2025 gezielt Entwickler und deren Toolchains über manipulierte Softwarepakete attackiert hat. Die koordinierte Aktion kappte alle vier Command-and-Control-Kanäle (C2) gleichzeitig und unterbrach damit die Verbindung der Angreifer zu den infizierten Systemen.
Glassworm: Vom Entwicklerwerkzeug zur Proxy-Zombie-Maschine
Glassworm wurde erstmals im Oktober 2025 vom Sicherheitsanbieter Koi beobachtet. Die Malware nutzte unsichtbare, Unicode-basierte Code-Injektion, um sich in Entwickler-Workflows einzuschleusen, ohne sofort aufzufallen. Ziel waren zunächst VS-Code-Erweiterungen im OpenVSX-Marktplatz, später folgten npm- und Python-Pakete sowie über 300 kompromittierte GitHub-Repositories, deren Zugangsdaten aus früheren Infektionen stammten.
Einmal aktiv, verwandelte Glassworm Entwicklerrechner in kriminelle Proxy-Knoten. Die Malware lief plattformübergreifend auf Windows, macOS und Linux, stahl Zugangsdaten und andere sensible Informationen und brachte zusätzlich ein eigenes Remote-Access-Tool (GlasswormRAT) auf Basis von Node.js mit. Damit konnten Angreifer infizierte Systeme fernsteuern und für weitere Kampagnen missbrauchen.
Robuste C2-Architektur: Blockchain, Kalender und DHT
Besonders heikel war die C2-Architektur von Glassworm, die explizit darauf ausgelegt war, Takedowns zu erschweren. Insgesamt kamen vier unterschiedliche Kanäle zum Einsatz:
- Solana-Blockchain: C2-Serveradressen wurden in den Memo-Feldern von Transaktionen kodiert. Dadurch liessen sich Steuerinformationen nicht einfach durch Abschalten klassischer Infrastruktur entfernen.
- Google Calendar: Ereignistitel dienten als Dead-Drop-Orte für Base64-kodierte C2-Pfade. Infizierte Clients konnten so über legitime Cloud-Dienste neue Anweisungen beziehen.
- BitTorrent DHT: GlasswormRAT nutzte eine dezentrale Distributed Hash Table, in der Konfigurationsdaten gegen fest einprogrammierte öffentliche Schlüssel abgelegt wurden.
- Traditionelle C2-Server: Klassische Command-and-Control-Server auf VPS-Infrastruktur fungierten als letzte Stufe zur Auslieferung von Payloads.
Diese Kombination aus Blockchain, legitimen Cloud-Diensten, dezentralen Strukturen und herkömmlichen Servern machte Glassworm widerstandsfähig gegen partielle Störungen. Ein Eingriff in nur einen Kanal hätte den Angreifern genug Spielraum gelassen, ihre Infrastruktur rasch wieder aufzubauen.
Koordinierter Takedown aller vier Kanäle
Am Dienstag um 14:00 UTC setzten CrowdStrikes Counter Adversary Operations Team und Partner einen koordinierten Schlag an und störten alle vier C2-Kanäle gleichzeitig. Laut CrowdStrike war dafür präzises Timing erforderlich, um zu verhindern, dass die Betreiber auf verbliebene Kanäle ausweichen und die Malware neu ausrichten.
Im Zuge der Aktion wurden alle Glassworm-infizierten Systeme so umgeleitet, dass sie nun zu einer harmlosen, von CrowdStrike betriebenen IP-Adresse (164.92.88[.]210) beaconen. Organisationen können diese Adresse in Netzwerk- und Endpoint-Logs als Indikator für eine frühere oder bestehende Glassworm-Infektion nutzen.
Glassworm im Kontext aktueller Supply-Chain-Angriffe
Der Takedown fällt in eine Phase, in der weitere selbstreplizierende Malware-Familien wie Mini Shai-Hulud durch Open-Source-Ökosysteme ziehen. Vergiftete GitHub-Repositories, manipulierte npm-Pakete und kompromittierte Entwicklerkonten sind inzwischen ein wiederkehrendes Muster. Statt ausschliesslich Produkte oder Endanwender ins Visier zu nehmen, rücken Angreifer zunehmend die Entwicklerumgebungen selbst in den Fokus.
CrowdStrike bezeichnet Glassworm als Wendepunkt in der Bedrohungslage: Wer Software entwickelt oder konsumiert, muss davon ausgehen, dass Build-Pipelines, Paketquellen und Erweiterungsmarktplätze attraktive Ziele für Angreifer sind. Die Grenze zwischen klassischer Endpunkt-Sicherheit und Supply-Chain-Schutz verschwimmt.
Was Organisationen jetzt tun sollten
Für Unternehmen und Teams, die Software entwickeln oder Open-Source-Komponenten einsetzen, ergeben sich mehrere Handlungsfelder:
- Log-Analyse: Netzwerk- und Endpoint-Telemetrie auf Verbindungen zur IP 164.92.88[.]210 prüfen, um mögliche Glassworm-Infektionen zu identifizieren.
- Härtung der Entwicklerumgebungen: Strikte Zugangskontrollen, Multi-Faktor-Authentisierung und minimale Berechtigungen für Entwicklerkonten etablieren.
- Supply-Chain-Sicherheit: Signierte Pakete, reproduzierbare Builds und die Validierung externer Abhängigkeiten in CI/CD-Pipelines einführen oder ausbauen.
- Monitoring von Marktplätzen: Genutzte VS-Code-Erweiterungen, npm- und Python-Pakete regelmässig überprüfen und auf ungewöhnliche Updates oder Maintainer-Wechsel achten.
- Incident-Response-Pläne: Spezifische Szenarien für kompromittierte Entwicklerkonten und Build-Systeme in Notfallpläne aufnehmen.
Fazit
Die Zerschlagung des Glassworm-Botnets zeigt, dass selbst ausgefeilte, dezentral organisierte C2-Infrastrukturen durch koordinierte Aktionen von Sicherheitsanbietern und Plattformbetreibern gestört werden können. Gleichzeitig macht der Fall deutlich, wie attraktiv Entwicklerumgebungen und Software-Lieferketten als Angriffsziele geworden sind. Organisationen, die Software entwickeln oder einsetzen, sollten ihre Sicherheitsstrategie entsprechend anpassen und Entwickler-Workflows als kritische Infrastruktur behandeln.
Loading ...
Und...wetsch das Cookie ha öder nöd ?
And...do you want the cookie or not ?
Comments are closed.