Forscher von **Aikido**, **Socket**, **Step Security** und der **OpenSourceMalware** Community haben in diesem Monat kollektiv 433 kompromittierte Komponenten in Angriffen identifiziert, die **GlassWorm** zugeschrieben werden. ### Kampagnenübersicht Beweise deuten darauf hin, dass ein einzelner Bedrohungsakteur hinter den **GlassWorm**-Kampagnen steckt. Er nutzt dieselbe **Solana**-Blockchain-Adresse für Command-and-Control (C2)-Aktivitäten, identische oder funktional ähnliche Payloads und gemeinsame Infrastruktur. **GlassWorm** wurde erstmals im vergangenen Oktober beobachtet. Angreifer setzten „unsichtbare“ Unicode-Zeichen ein, um bösartigen Code zu verbergen, der darauf ausgelegt war, Kryptowährungs-Wallet-Daten und Entwickler-Anmeldeinformationen zu stehlen. Die Kampagne expandierte auf den offiziellen **Visual Studio Code**-Marktplatz von **Microsoft** und das **OpenVSX**-Repository, wie der Forscher John Tuckner von Secure Annex entdeckte. Auch **macOS**-Systeme waren betroffen, mit trojanisierten Clients für **Trezor** und **Ledger**, und später Entwickler über kompromittierte **OpenVSX**-Erweiterungen. ### Umfang des neuesten Angriffs Die jüngste Angriffswelle von **GlassWorm** ist deutlich umfangreicher und betrifft: * 200 **GitHub** Python-Repositories * 151 **GitHub** JS/TS-Repositories * 72 **VSCode/OpenVSX**-Erweiterungen * 10 **npm**-Pakete ### Angriffsvektoren und Techniken Die erste Kompromittierung erfolgt auf **GitHub**, wo Konten kompromittiert werden, um bösartige Commits zu forcieren. Anschließend werden bösartige Pakete und Erweiterungen auf **npm** und **VSCode/OpenVSX** veröffentlicht, die verschleierten Code (unsichtbare Unicode-Zeichen) enthalten, um die Erkennung zu umgehen.  *Quelle: Aikido* Auf allen Plattformen wird die **Solana**-Blockchain alle fünf Sekunden nach neuen Anweisungen abgefragt. Laut **Step Security** gab es zwischen dem 27. November 2025 und dem 13. März 2026 50 neue Transaktionen, meist zur Aktualisierung der Payload-URL. Die Anweisungen waren als Memos in den Transaktionen eingebettet und führten zum Herunterladen der **Node.js**-Laufzeitumgebung und zur Ausführung eines JavaScript-basierten Information-Stealers.  *Quelle: Step Security* Die Malware zielt auf Kryptowährungs-Wallet-Daten, Anmeldeinformationen, Zugriffstoken, SSH-Schlüssel und Entwicklerumgebungsdaten ab. ### Zuschreibung und Abwehr Die Analyse von Code-Kommentaren deutet darauf hin, dass russischsprachige Bedrohungsakteure hinter **GlassWorm** stecken könnten. Die Malware überspringt die Ausführung, wenn die russische Locale auf dem System gefunden wird. Dies reicht jedoch nicht für eine sichere Zuschreibung aus. **Step Security** rät Entwicklern, die Python-Pakete direkt von **GitHub** installieren oder geklonte Repositories ausführen, auf Anzeichen einer Kompromittierung zu prüfen, indem sie ihren Code nach der Marker-Variable „lzcdrtfxyqiplpd“ durchsuchen, einem Indikator für die **GlassWorm**-Malware.  *Quelle: Step Security* Sie empfehlen außerdem, Systeme auf das Vorhandensein der Datei *~/init.json* zu überprüfen, die für die Persistenz verwendet wird, sowie auf unerwartete **Node.js**-Installationen im Home-Verzeichnis (z. B. ~/node-v22*). Darüber hinaus sollten Entwickler nach verdächtigen *i.js*-Dateien in kürzlich geklonten Projekten suchen und **Git**-Commit-Historien auf Anomalien überprüfen, wie z. B. Commits, bei denen das Commit-Datum deutlich neuer ist als das ursprüngliche Autor-Datum.