**Glassworm**-Kampagnen laufen seit Oktober 2025 und richteten sich zunächst an Entwickler mit bösartigen **OpenVSX**- und **Microsoft VS Code**-Erweiterungen. Diese Erweiterungen waren darauf ausgelegt, Kryptowährungs-Wallets und Entwickler-Anmeldeinformationen zu stehlen. Die Angriffe weiteten sich später auf **GitHub**-Repositories und **npm**-Pakete aus und betrafen in einer Kampagne im März über 400 Software-Artefakte. Bei einem kürzlichen Angriff platzierten **Glassworm**-Betreiber Dutzende von ruhenden Erweiterungen auf **OpenVSX**, die nach einem Update ihre bösartigen Komponenten aktivieren würden. ## Widerstandsfähige C2-Infrastruktur Ein Grund für die anhaltende Präsenz von **Glassworm** ist seine C2-Infrastruktur. Das Botnetz nutzte nicht-traditionelle Kommunikationskanäle, was seine Zerschlagung außerordentlich schwierig machte. „Die Kombination aus Blockchain, Peer-to-Peer und legitimen Webdiensten als Auflösungsschichten wurde entwickelt, um widerstandsfähig gegen Zerschlagungen zu sein – eine dynamische Front, die die eigentlichen C2-Server hinter mehreren Indirektionsschichten schützt“, bemerkte **CrowdStrike**. Forscher betonten, dass die Betreiber des Botnetzes ihre Infrastruktur speziell auf Widerstandsfähigkeit ausgelegt hatten. Die Zerschlagung erforderte einen gleichzeitigen Schlag gegen alle vier C2-Kanäle: 1. **Solana**-Blockchain: C2-Serveradressen wurden in den Memo-Feldern von Blockchain-Transaktionen kodiert, wodurch ein unveränderlicher, öffentlich zugänglicher Totenbriefkasten entstand. 2. **BitTorrent** Distributed Hash Table (DHT): Der **GlasswormRAT** fragte das **BitTorrent** Peer-to-Peer-Netzwerk nach Konfigurationsdaten ab, die gegen hartkodierte öffentliche Schlüssel gespeichert waren. 3. Öffentlicher Kalenderservice: **Glassworm** nutzte **Google Calendar**-Ereignistitel als Totenbriefkästen für Base64-kodierte C2-Pfade. 4. Direkte Serververbindungen: Traditionelle C2-Infrastruktur, die auf kommerziellen VPS-Anbietern gehostet wurde, diente als endgültiger Mechanismus zur Auslieferung von Payloads.  *Glassworm Command-and-Control-Architektur Quelle: CrowdStrike* Aufgrund dieser Architektur hätte die Störung eines einzelnen Kanals nur minimale Auswirkungen gehabt, da die Kommunikation einfach auf einen anderen Kanal hätte verlagert werden können, wodurch der Bedrohungsakteur die Kontrolle behalten hätte. ## Koordinierte Zerschlagung „Alle vier Kanäle mussten gleichzeitig in einer koordinierten Anstrengung gestört werden. Infolgedessen können infizierte Maschinen keine neuen Anweisungen oder Payloads mehr empfangen“, erklärte **CrowdStrike**. Nach der Zerschlagung melden sich alle im **Glassworm**-Angriff kompromittierten Maschinen nun bei der IP-Adresse 164.92.88[.]210, die von **CrowdStrike** betrieben wird. Organisationen wird geraten, nach diesem Netzwerkindikator Ausschau zu halten und sofortige Abhilfemaßnahmen zu ergreifen. Forscher haben auch YARA-Regeln veröffentlicht, um Infektionen auf verdächtigen Hosts zu bestätigen. ## Die Validierungslücke: Automatisiertes Pentesting beantwortet eine Frage. Sie brauchen sechs. Automatisierte Pentesting-Tools liefern echten Mehrwert, aber sie wurden entwickelt, um eine Frage zu beantworten: Kann ein Angreifer sich im Netzwerk bewegen? Sie wurden nicht entwickelt, um zu testen, ob Ihre Kontrollen Bedrohungen blockieren, Ihre Erkennungsregeln auslösen oder Ihre Cloud-Konfigurationen standhalten. Diese Anleitung behandelt die 6 Oberflächen, die Sie tatsächlich validieren müssen. [Jetzt herunterladen](https://hubs.li/Q048zztN0)