Glassworm-Botnetz zerschlagen: CrowdStrike stoppt vier Steuerungskanäle

In einer koordinierten Aktion haben CrowdStrike, Google und die Shadowserver Foundation am Montag die Kontrollinfrastruktur des Glassworm-Botnetzes lahmgelegt. Der Schlag traf ein Netzwerk, das seit Anfang 2025 gezielt Softwareentwickler ins Visier nahm.

IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Das Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. IT-Sicherheits-Guide für Unternehmen jetzt kostenlos sichern

Vierfach abgesichert – und doch gestoppt

Das Besondere an Glassworm: Die Betreiber hatten ihr Botnetz mit einer redundanten Steuerungsarchitektur ausgestattet. Vier völlig unterschiedliche Kanäle hielten die Verbindung zu infizierten Systemen aufrecht. Die Hacker nutzten die Solana-Blockchain, das BitTorrent-DHT-Netzwerk, Google Kalender und eigene virtuelle Privatserver.

Um ein Wiedererwachen des Botnetzes zu verhindern, legten die Sicherheitsexperten alle vier Kanäle gleichzeitig still. Die Operation traf eine Bedrohung, die Forscher als besonders widerstandsfähig beschrieben – vor allem wegen ihrer Fähigkeit, Windows-, macOS- und Linux-Systeme gleichermaßen zu infizieren.

Angriff auf die Lieferkette: So schlugen die Hacker zu

Die Täter hinter Glassworm setzten auf einen besonders perfiden Ansatz: Sie infiltrierten die Entwicklungsumgebungen von Softwareentwicklern. Über die OpenVSX-Registry verteilten sie trojanishierte Visual-Studio-Code-Erweiterungen, die speziell Nutzer von Cursor, Positron, Windsurf und VSCodium ansteuerten.

Doch damit nicht genug. Die Angreifer hinterlegten zudem mehr als 300 manipulierte GitHub-Repositories. Auch die Paketverwaltungen npm und PyPI wurden mit schädlichen Paketen verseucht. Wer als Entwickler in seinem Arbeitsalltag auf diese Quellen zugriff, riskierte eine Infektion.

Sobald ein System kompromittiert war, installierte sich der eigentliche Schädling: GlasswormRAT – ein auf Node.js basierender Trojaner mit Fernzugriff.

Was der Schädling anrichtete

GlasswormRAT war ein echtes Multitalent der Cyberkriminalität. Der Trojaner stahl Zugangsdaten und plünderte Kryptowährungs-Wallets. Zudem verschaffte er den Angreifern eine SOCKS-Proxy-Funktion und eine versteckte VNC-Schnittstelle. Damit konnten die Hacker jederzeit aus der Ferne auf die infizierten Rechner zugreifen.

Die Urheberschaft führen Cybersicherheitsexperten auf russischsprachige Akteure zurück. Diese Einschätzung stützt sich auf Sprachmerkmale in den Code-Kommentaren des Schädlings sowie auf Ländereinstellungen, die das Programm zur Identifikation des Opferstandorts durchführte.

Rekord-Schäden durch Phishing und Schadsoftware: Warum immer mehr Unternehmen jetzt auf gezielte Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen die psychologischen Tricks der Hacker schützen kann. Kostenloses Anti-Phishing-Paket herunterladen

So schützen sich Unternehmen jetzt

Nach der Zerschlagung der Infrastruktur veröffentlichte CrowdStrike spezielle YARA-Regeln. Sie helfen Organisationen dabei, den Schädling in ihren Netzwerken aufzuspüren. Infizierte Systeme nehmen typischerweise Kontakt zur IP-Adresse 164.92.88[.]210 auf.

Sicherheitsexperten raten Unternehmen dringend, ihre Entwicklungsumgebungen auf unautorisierte Erweiterungen und verdächtige Open-Source-Pakete zu überprüfen. Betroffene sollten zudem umgehend alle Zugangsdaten austauschen und auf die spezifischen Indikatoren einer GlasswormRAT-Infektion achten.

de | wissenschaft | 69430686 |