Die Bedrohungslage für Softwareentwickler hat eine neue Qualität erreicht. Wie CrowdStrike gemeinsam mit Google und der Shadowserver Foundation nun verlauten ließ, ist es gelungen, die gesamte Command-and-Control-Infrastruktur (C2) der Malware-Kampagne „GlassWorm" lahmzulegen. Der Fall zeigt erschreckend deutlich, dass Entwickler-Workstations längst nicht mehr nur individuelle Arbeitsplätze sind, sondern hochattraktive Ziele, über die sich ganze Software-Lieferketten kompromittieren lassen.
Der Entwickler als Flaschenhals der Supply Chain
Seit mindestens Anfang 2025 gehen die Akteure hinter GlassWorm systematisch gegen Entwickler vor. Die Logik der Angreifer ist dabei erschreckend simpel: Ein einzelner kompromittierter Entwicklerrechner, der Zugang zu Quellcode-Repositories, Cloud-Plattformen, CI/CD-Pipelines und Paket-Registries hat, reicht aus, um Tausende downstreamer Organisationen und Nutzer gleichzeitig zu infizieren. Die Barrieren für das Vergiften von Paketen oder Extensions sind niedrig, der potenzielle Schaden – der sogenannte „Blast Radius" – ist enorm.
GlassWorm nutzte eine „Multi-Pronged"-Kampagne, also mehrere Angriffsvektoren gleichzeitig. Im Fokus standen trojanisierte VS-Code-Erweiterungen, die sowohl im offiziellen Microsoft VS Code Marketplace als auch auf Open VSX veröffentlicht wurden. Beseres tückisch: Über Open VSX konnten so auch Nutzer von populären VS-Code-Forks wie Cursor, Positron, Windsurf und VSCodium ins Visier geraten – gerade die Tools, die derzeit in der Entwickler-Community extrem im Trend liegen. Ergänzt wurde dies durch kompromittierte npm- und Python-Pakete.
Von der Extension zum RAT und Bot-Netz
Wird die Schadsoftware aktiv, geht sie rigoros vor. Sie installiert die auf WebSockets basierende JavaScript-RAT „GlassWormRAT". Diese ist darauf ausgelegt, Browser-Daten zu stehlen und beliebigen Code auszuführen. Dazu gehört die Installation einer Chrome-Extension, die Screenshots macht, Tastatureingaben aufzeichnet und den Inhalt der Zwischenablage abgreift.
Noch gravierender ist jedoch die Suche nach Entwickler-Zugangsdaten: GitHub-, NPM- und OpenVSX-Tokens sowie Krypto-Wallets werden systematisch extrahiert. Mit diesen gestohlenen Credentials wurden laut den Ermittlern bislang über 300 GitHub-Repositories vergiftet – ein klassischer Supply-Chain-Angriff, der sich selbst reproduziert.
Zusätzlich wandeln die Angreifer die infizierten Hosts in versteckte Infrastruktur um. Aus den Rechnern werden SOCKS-Proxys, Hidden VNC-Server (HVNC) und Remote-Execution-Nodes (via WebRTC oder Node.js). Das gibt den Angreifern anonymisierten Netzwerkzugang in Unternehmensnetze und eine Plattform für weitere Angriffe.
Die C2-Infrastruktur: Ein Meisterwerk der Resilienz
Was GlassWorm aber wirklich bemerkenswert macht, ist die Architektur der Command-and-Control-Infrastruktur. Um ihre Server vor Abschaltungen zu schützen, nutzten die Angreifer vier völlig unterschiedliche, redundante Kommunikationskanäle:
- Solana-Blockchain: C2-Adressen wurden in den Memo-Feldern von Krypto-Transaktionen versteckt.
- BitTorrent DHT: Konfigurationsdaten wurden über das dezentrale Peer-to-Peer-Netzwerk abgefragt.
- Google Calendar: Termintitel in Google-Kalendern fungierten als „Dead Drop" für C2-Adressen. 4 Kommerzielle VPS: Direktverbindungen zu klassischen Servern.
Diese Kombination aus Blockchain, P2P und legitimen Webdiensten als Auflösungsschichten sollte die Infrastruktur unangreifbar machen. Die dynamische Front schützte die echten C2-Server hinter mehreren Schichten der Verschleierung. Dass es CrowdStrike und seinen Partnern nun gelungen ist, alle vier Kanäle simultan zu neutralisieren, ist ein massiver operativer Erfolg. Infizierte Maschinen können nun keine neuen Instruktionen oder Payloads mehr empfangen.
Einordnung: Der Schutz der Entwickler-Umgebung wird zum Muss
Die Zuordnung der Angriffe deutet auf russischsprachige Cyberkriminelle hin – die Malware enthält russischsprachige Kommentare und bricht die Ausführung auf Systemen in GUS-Staaten (Commonwealth of Independent States) ab. Die Akteure sind gut ausgerüstet und hartnäckig.
Der Vorfall ist ein Weckruf für die gesamte Branche. Wie CrowdStrike treffend zusammenfasst: Die Software-Lieferkette bleibt eine der folgenreichsten Angriffsflächen. Abhängigkeiten von Tools, Updates und Bibliotheken werden von Angreifern in Waffen verwandelt. Solange Entwicklerumgebungen, Build-Pipelines und Code-Repositories untergeschützt bleiben, erben alle Organisationen, die diese Software konsumieren, das Risiko derer, die sie produzieren.
Die Lektion aus GlassWorm ist klar: Entwickler-Workstations brauchen Zero-Trust-Architekturen, strengere Überwachung von Token-Rechten und ein Umdenken bei der Installation von Extensions. Der nahtlose Komfort moderner IDEs darf nicht auf Kosten der Sicherheit gehen, denn Angreifer haben verstanden, dass der schwächste Punkt oft der gut ausgestattete Entwickler selbst ist.
Quelle: The Hacker News
