### Angriffe auf Entwickler: Ein lukrativer Angriffsvektor Die Betreiber von **GlassWorm** haben systematisch Softwareentwickler ins Visier genommen, eine demografische Gruppe mit privilegiertem Zugriff auf Quellcode-Repositories, Cloud-Plattformen, CI/CD-Pipelines und Paket-Registries. Dies macht Entwickler zu einem hochkarätigen Ziel für Angriffe auf die Software-Lieferkette, bei denen eine einzige kompromittierte Workstation Tausende von nachgelagerten Organisationen und Benutzern beeinträchtigen kann. ### Mehrgleisige Kampagne Seit seinem Auftauchen im letzten Jahr hat **GlassWorm** eine "mehrgleisige Kampagne" durchgeführt, die trojanisierte **VS Code**-Erweiterungen auf dem **Microsoft VS Code Marketplace** und **Open VSX** umfasste. Diese Taktik ermöglichte es der Malware, Benutzer von **VS Code**-Forks wie **Cursor**, **Positron**, **Windsurf** und **VSCodium** anzugreifen. Die Kampagne führte auch bösartigen Code über kompromittierte npm- und Python-Pakete ein. Das ultimative Ziel dieser Angriffe ist die Bereitstellung eines Frameworks zur Datendiebstahl, das in der Lage ist, Anmeldeinformationen zu stehlen, Kryptowährungs-Wallets zu exfiltrieren und Systeme zu profilieren. ### GlassWormRAT: Browserdaten stehlen Nachfolgende Iterationen von **GlassWorm** haben eine Websocket-basierte JavaScript-RAT namens **GlassWormRAT** eingesetzt, um Webbrowserdaten zu stehlen und beliebigen Code auszuführen. Dazu gehört die Installation einer **Google Chrome**-Erweiterung, die sensible Daten wie Screenshots, Tastatureingaben und Clipboard-Inhalte von infizierten Systemen sammelt. Laut dem Forscher Kiran Raj von **Endor Labs** "sucht die Malware nach der Aktivierung auf dem Host nach Entwickler-Anmeldeinformationen (**GitHub**, NPM, **OpenVSX**-Token, Krypto-Wallets), was eine weitere Kompromittierung von Repositories und Paket-Uploads ermöglicht."   Infizierte Hosts werden in eine verdeckte Infrastruktur umgewandelt, die als SOCKS-Proxys, versteckte VNC (HVNC)-Server und Remote-Ausführungsknoten (über WebRTC oder gestartete Node.js-Prozesse) fungiert. Dies verschafft Angreifern anonymen Netzwerkzugriff auf Unternehmens- und Privatnetzwerke und erleichtert die weitere Verbreitung. ### Robuste C2-Infrastruktur Die bösartige Aktivität hat Berichten zufolge über 300 **GitHub**-Repositories unter Verwendung gestohlener Entwickler-Anmeldeinformationen kompromittiert. Ein Hauptmerkmal der Operation war die Nutzung von vier verschiedenen C2-Kanälen zur Erhöhung der Ausfallsicherheit: * Verwendung der **Solana-Blockchain** als Dead-Drop-Resolver, indem C2-Serveradressen in den Memo-Feldern von Blockchain-Transaktionen gespeichert werden. * Abfrage des Peer-to-Peer-Netzwerks der BitTorrent Distributed Hash Table (DHT), um Konfigurationsdaten abzurufen. * Verwendung von **Google Calendar** als Dead-Drop-Resolver, um die C2-Serveradresse aus Ereignistiteln abzurufen. * Direkte Verbindung zur C2-Infrastruktur, die auf kommerziellen VPS-Anbietern gehostet wird. "Die Kombination aus Blockchain, Peer-to-Peer und legitimen Webdiensten als Auflösungsschichten war darauf ausgelegt, gegen Takedowns resistent zu sein – eine dynamische Front, die die eigentlichen C2-Server hinter mehreren Indirektionsschichten schützt", erklärte **CrowdStrike**. ### Takedown und Attribution Die Aktion neutralisierte erfolgreich alle vier C2-Kanäle gleichzeitig und verhinderte, dass infizierte Maschinen neue Anweisungen oder Payloads erhielten. **CrowdStrike** beschrieb die Betreiber von **GlassWorm** als "gut ausgestattet und hartnäckig" und führte die Aktivität auf wahrscheinlich in Russland ansässige Cyberkriminelle zurück. Diese Einschätzung basiert auf dem Verhalten der Malware, die die Ausführung auf Systemen in den GUS-Staaten (Commonwealth of Independent States) beendet, und auf dem Vorhandensein von russischsprachigen Kommentaren im Code. ### Risiken der Software-Lieferkette "Die Software-Lieferkette bleibt eine der folgenreichsten Angriffsflächen in der modernen Computertechnik", schloss **CrowdStrike**. "Gegner verwandeln die Abhängigkeiten einer Organisation von Tools, Updates und Bibliotheken in bewaffnete Zustellmechanismen und Multiplikatoren." Das Cybersicherheitsunternehmen betonte, dass "die Hürde für die Vergiftung eines Pakets oder einer Erweiterung niedrig ist; die potenzielle Reichweite ist enorm. Solange Entwicklerumgebungen, Build-Pipelines und Code-Repositories unzureichend geschützt bleiben, erbt jede Organisation, die Software konsumiert, das Risiko von jedem, der sie produziert. **GlassWorm** zeigt, dass Angreifer dies wissen und in widerstandsfähige Infrastrukturen investieren, um einen dauerhaften Zugang zu Entwickler-Ökosystemen zu erhalten."