Neue Malware „Glassworm" zielt gezielt auf Entwickler ab und nutzt Paketmanager sowie GitHub aus

Allein in der ersten Welle sollen rund 35.800 Entwickler infiziert worden sein. Seitdem hat sich Glassworm stetig ausgeweitet und ist nun auch Python-Repositories auf GitHub, npm-Pakete React-Native-Ökosystem sowie Entwicklungswerkzeuge für KI-basierte Anwendungen eingedrungen.

Analysten haben die wachsende Ausmaß und die zunehmende Sophistizität dieser Kampagne registriert. Die Malware arbeitet in mehreren Stufen: Sie beginnt mit einem Loader, schreitet zum Diebstahl mit einem persistenten Backdoor, der es dem Angreifer ermöglicht, den Zugriff lange nach der anfänglichen Infektion aufrechtzuerhalten.

Besonders alarmierend bei Glassworm ist das Zielpublikum. Entwickler speichern häufig Cloud-Zugangsdaten, SSH-Schlüssel, API-Tokens und Kryptowährungswallets lokal auf ihren Geräten. Eine einzige kompromittierte Arbeitsstation kann die gesamte Infrastruktur einer Organisation gefährden und Angriffe Dutzenden verbundener Repositories auslösen.

Sicherheitslage und Risiko

Die Angriffs-Kette beginnt leise: Ein Entwickler installiert, was wie eine vertrauenswürdige Erweiterung oder ein Paket aussieht, und die Malware aktiviert sich Hintergrund. Sie erntet Geheimnisse und überweist gestohlene Zugangsdaten an, oft bevor jemand merkt, dass etwas nicht stimmt.

Laut dem News (CSN) übergebenen Bericht haben Forscher entwendete React Native-NPM-Pakete identifiziert, die gemeinsam mehr als 30.000 Downloads pro Woche verzeichneten und beide so manipuliert wurden, dass sie mehrstufige Malware Rahmen desselben Angriffsunternehmens ausliefern.

Glassworm-Malware mit Fokus auf Entwickler Glassworm verteilt seine Schadlast über mehrere Kanäle. Bösartige Code- und Cursor-Erweiterungen dienen als primärer Einstiegspunkt; dabei wurden einige legitime Publisher-Konten kompromittiert, um schädliche Updates zu verbreiten.

Sicherheitslage und Risiko

Dieser Ansatz ermöglichte es den Angreifern, Tausende, ohne dass die Plattformen sofortige Verdachtsmomente anmeldeten. Sobald die Malware auf einem Entwickler-System installiert ist, stiehlt Glassworm GitHub-Zertifikate aus verschiedenen Quellen, darunter die Code-Speicher, die git-Kredenzialdatei und lokale Umgebungsvariablen.

Anschließend nutzen die Angreifer diese Tokens, um die Malware mit Force-Push in jedes Repository zu übertragen, das mit dem Konto des Opfers verknüpft ist. Die Injektion bewahrt den ursprünglichen Autor und das Datum des Commits bei, sodass es so aussieht, als habe sich in der Projekthistorie nichts geändert.

Gleichzeitig wurden zwei weit verbreitete npm-Pakete React-Native-Ökosystem entdeckt, die zusammen über 30.000 wöchentliche Downloads verzeichnen; diese wurden entführt und modifiziert, um ein bösartiges Installations-Skript auszuführen.

Sicherheitslage und Risiko

Dieses Skript prüft, ob das System auf eine russische Lokaleinstellung konfiguriert ist, und überspringt die Ausführung in diesem Fall – eine Taktik, die häufig genutzt wird, um in bestimmten Regionen die Aufmerksamkeit der Strafverfolgungsbehörden zu vermeiden. Die Malware nutzt die Solana-Blockchain als Command-and-Control-Kanal.

Anstatt sich auf einen Server zu verbinden, der abgeschaltet werden könnte, liest sie Anweisungen aus Transaktions-Memos, die an eine bestimmte Solana-Wallet angehängt sind.

Der Angreifer kann die Speicherorte der Payloads jederzeit aktualisieren, indem er eine neue Transaktion veröffentlicht; diese Anweisungen können nach der Aufzeichnung in der Blockchain nicht gelöscht oder zensiert werden. Stealth-Techniken und Was gestohlen wird: Glassworm geht große Mühen, um sich zu verstecken.

Einordnung fuer Autofahrer

Eine Methode besteht darin, unsichtbare Unicode-Zeichen in den Quellcode einzubetten. Diese Zeichen werden Editoren und GitHubs Code-Review-Schnittstelle als leere Leerzeichen dargestellt, wodurch die versteckte Nutzlast für jeden, der den Code normal liest, effektiv unsichtbar bleibt. Die mehrstufige Nutzlast erschwert die Erkennung weiter.

Die erste Stufe ist ein Loader, die zweite stiehlt Zugangsdaten und Daten ährungs-Wallets, und die dritte installiert einen persistenten Backdoor mittels WebSockets. Zusätzlich wird eine bösartige Chrome-Erweiterung installiert, Browser-Sitzungsdaten abzufangen.

Die finale Nutzlast ist mit AES verschlüsselt, und der Entschlüsselungsschlüssel wird ausschließlich über Server-Antwort-Header übermittelt, was eine statische Analyse nahezu unmöglich macht. Sicherheitsteams sollten alle installierten Code-Erweiterungen überprüfen und alles Entfernen, was nicht erkannt wird.

Technischer Hintergrund

Entwicklern wird geraten, GitHub-Token und Cloud-Zugangsdaten auf jedem System zu rotieren, das möglicherweise exponiert wurde. Die Aktivierung der Zwei-Faktor-Authentifizierung auf allen Entwickler-Plattformen ist unerlässlich.

Organisationen sollten zudem auf ausgehende Verbindungen Solana-RPC-Endpunkten oder unbekannten IP-Adressen achten, da dieser Art Entwicklungspipeline nicht vorkommt.

Indikatoren für Kompromittierungen (IoCs): Solana-Wallet (C2): Indikator: BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC; Beschreibung: Primäre C2-Adresse der Solana-Blockchain, die über Transaktions-Memos Anweisungen für die Nutzlast empfängt.

Technischer Hintergrund

Solana-Wallet (Finanzierung): Indikator: G2YxRa6wt1qePMwfJzdXZG62ej4qaTC7YURzuh2Lwd3t; Beschreibung: Finanzierungs-Wallet, das die C2-Adresse mit Mitteln versorgte; enthält etwa 495 SOL. IP-Adresse: Indikator: 45.32.151.157; Beschreibung: C2-Nutzlast-Server, aktiv Dezember 2025 (Vultr-Hosting-Bereich).

IP-Adresse: Indikator: 45.32.150.97; Beschreibung: C2-Nutzlast-Server, aktiv Februar 2026 (Vultr-Hosting-Bereich). IP-Adresse: Indikator: 217.69.11.57; Beschreibung: C2-Nutzlast-Server, aktiv Februar 2026 (russischer Hosting-Bereich).

IP-Adresse: Indikator: 217.69.11.99; Beschreibung: C2-Payload-Server, aktiv März 2026; C2-Server auf Port 5000, DHT auf Port 10000. IP-Adresse: Indikator: 217.69.0.159; Beschreibung: C2-Payload-Server, aktiv im März 2026 (durch Live-Monitoring bestätigt).

Technischer Hintergrund

IP-Adresse: Indikator: 45.76.44.240; Beschreibung: C2-Payload-Server, aktiv im März 2026 (gehört zum Vultr-Hosting-Bereich). Hinweis: IP-Adressen und Domains wurden absichtlich defanged (z. B. [.] ), um eine unbeabsichtigte Auflösung oder Hyperlinkierung zu verhindern.

Defang nur innerhalb kontrollierter Threat-Intelligence-Plattformen wie MISP, VirusTotal oder Ihres SIEM. Tushar ist ein Senior-Experte für Cybersecurity und Berichterstattung über Sicherheitsverletzungen. Er spezialisiert sich auf Cybersecurity-Nachrichten, Trends und neue Bedrohungen, Datenpannen sowie Malware-Angriffe.

Mit jahrelanger Erfahrung bringt Klarheit und Tiefe in komplexe Sicherheitsthemen. Neue 0-Click-WhatsApp-Kontoübernahme-Angriffe zielen auf iOS-16-Nutzer GitLab stellt den Windows-Exploiten-Forscher Nightmare-Eclipse nach dessen GitHub-Sperre ein Anthropic stellt ein kostenloses Sicherheits-Plugin für das Claude-Code-Terminal zur Erkennung