Thought Leadership
CrowdStrike, Google und Shadowserver haben das GlassWorm-Botnetz zerschlagen. Die Schadsoftware nutzte verschachtelte Blockchain- und P2P-Kanäle.
Das IT-Sicherheitsunternehmen CrowdStrike hat in Kooperation mit dem Technologiekonzern Google und der Shadowserver Foundation eine erfolgreiche Zerschlagung des GlassWorm-Botnetzes bekannt gegeben. Die koordinierte Aktion fand im Mai 2026 statt und zielte darauf ab, alle vier aktiven Befehls- und Kontrollkanäle, die sogenannten Command-and-Control-Kanäle, der Schadsoftware gleichzeitig abzuschalten. Durch diesen synchronisierten Schlag wurde den Betreibern des Botnetzes der Zugriff auf bereits infizierte Computersysteme entzogen.
Zudem verhinderte die Maßnahme das Nachladen weiterer schadhafter Programmelemente. Das GlassWorm-Botnetz hatte über einen Zeitraum von mehr als sechs Monaten gezielt Infrastrukturen innerhalb des Ökosystems für Open-Source-Software angegriffen. Da herkömmliche Abschaltungen meist an der Flexibilität moderner Schadsoftware scheitern, mussten die IT-Sicherheitsfirmen ein präzises operatives Zeitfenster wählen, um eine schnelle Reorganisation der Infrastruktur durch die Angreifer von vornherein auszuschließen.
GlassWorm-Botnetz kombinierte dezentrale und legitime Webdienste
Die Architektur des GlassWorm-Botnetzes zeichnete sich durch eine hohe Ausfallsicherheit aus, da sie verschiedene dezentrale und legitime Webdienste miteinander kombinierte. Als primäre Steuerungsebene nutzten die Betreiber die Solana-Blockchain. Die Adressen der Befehlsserver wurden verschlüsselt in den Memo-Feldern von Blockchain-Transaktionen hinterlegt, wodurch sie nachträglich weder modifiziert noch gelöscht werden konnten. Als Fallback-Systeme dienten das dezentrale Peer-to-Peer-Netzwerk von BitTorrent sowie der legitime Dienst Google Calendar. Im BitTorrent-Netzwerk hinterlegten die Täter Konfigurationsdaten, die an fest codierte öffentliche Schlüssel gekoppelt waren.
In Google Calendar wurden Base64-codierte Pfade direkt in den Titeln von Kalenderereignissen platziert. Traditionelle Server, die bei kommerziellen VPS-Anbietern angemietet waren, dienten schließlich dem Hosten der eigentlichen Schadprogramme. CrowdStrike erklärte den Zweck dieser Struktur wortwörtlich mit den folgenden Worten: Die Kombination aus Blockchain, Peer-to-Peer und legitimen Webdiensten als Auflösungsebenen wurde so konzipiert, dass sie resistent gegen Takedowns ist – eine dynamische Front, die die tatsächlichen C&C-Server hinter mehreren Schichten von Indirektion schützt. Durch die gleichzeitige Deaktivierung aller vier Kanäle konnte diese Schutzwand durchbrochen werden.
Unsichtbarer Code und Evolution der Programmiersprachen
Die Historie der Schadsoftware reicht bis in den Oktober 2025 zurück, als Sicherheitsforscher die ersten Infektionen dokumentierten. Ein besonders tückisches Merkmal von GlassWorm war der Einsatz von unsichtbaren Unicode-Zeichen, sogenannten Unicode Variation Selectors. Diese Zeichen sorgten dafür, dass der schadhafte Programmcode in gängigen Editoren und Code-Review-Oberflächen für das menschliche Auge unsichtbar blieb, was die Entdeckung bei manuellen Qualitätskontrollen massiv erschwerte. Ursprünglich verbreitete sich der selbstreplizierende Wurm über manipulierte Erweiterungen für Visual Studio auf dem OpenVSX-Marktplatz.
Im November 2025 tauchten erste Varianten auf der Entwicklerplattform GitHub auf. Im Verlauf des Jahres 2026 setzten die Akteure ihre Angriffe fort. Im März 2026 wurden mehrere Projekte innerhalb des Python-Ökosystems kompromittiert. Die Entwickler hinter GlassWorm verfügten über beträchtliche Ressourcen und änderten fortlaufend ihre technologische Basis. Sie migrierten den Code von JavaScript zu Rust und schließlich zu Zig, um Entdeckungen zu entgehen und die Portabilität zu erhöhen.
Schadfunktionen und das Risiko für die Software-Lieferkette
Das funktionale Ziel von GlassWorm lag in der systematischen Spionage und dem Diebstahl sensibler Entwicklerdaten. Die Schadsoftware war darauf programmiert, Zugangsdaten für npm, GitHub und Git-Repositories auszulesen. Zudem attackierte der Wurm gezielt Dutzende von Browser-Erweiterungen für Kryptowährungs-Wallets, um digitale Vermögenswerte zu entwenden. Für den dauerhaften Fernzugriff installierten die Angreifer versteckte SOCKS-Proxy-Server sowie unsichtbare Virtual Network Computing-Dienste auf den Systemen der Opfer.
CrowdStrike wies darauf hin, dass diese Kompromittierungen eine erhebliche Gefahr für globale Lieferketten darstellten, da gestohlene Entwickler-Token genutzt wurden, um legitime Software-Updates im nachgelagerten Markt zu vergiften. Dies betraf nicht nur die infizierten Programmierer, sondern auch alle Unternehmen, die diese Open-Source-Komponenten konsumierten. Analysen des Quellcodes lieferten deutliche Hinweise auf eine russische Herkunft der Akteure. Die Schadsoftware überprüft vor einer Infektion die Ländereinstellungen des Betriebssystems und bricht den Vorgang ab, wenn das System in einem Staat der Gemeinschaft Unabhängiger Staaten lokalisiert ist. Zudem enthielt der Programmcode russischsprachige Kommentare.
Maßnahmen für Unternehmen
Um betroffenen Unternehmen bei der Identifikation verdeckter Infektionen innerhalb ihrer IT-Infrastruktur zu helfen, haben die beteiligten Sicherheitsfirmen nach der Zerschlagung eine technische Signallogik implementiert. Alle infizierten Computer wurden so konfiguriert, dass sie nun regelmäßige Statussignale an eine harmlose, von CrowdStrike kontrollierte IP-Adresse senden. Diese Adresse lautet 164.92.88.210. IT-Verantwortliche und Administratoren sind dringend aufgerufen, ihre internen Netzwerkprotokolle und Endpunkt-Telemetriedaten auf Verbindungen zu dieser spezifischen IP-Adresse zu überprüfen.
Jede Übereinstimmung gilt als eindeutiger Indikator für eine aktive GlassWorm-Infektion und erfordert sofortige Isolations- und Bereinigungsmaßnahmen. Für das übergeordnete IT-Risikomanagement bedeutet dieser Vorfall eine fundamentale Lehre. CrowdStrike zog aus dem Vorfall eine fundamentale Lehre für die gesamte Branche und erklärte wortwörtlich: Diese Zerschlagung ist über das Botnetz hinaus von Bedeutung. Glassworm markierte eine bedeutende Veränderung in der Bedrohungslandschaft, die als Weckruf für jede Organisation dienen sollte, die Software versendet oder konsumiert.
Angreifer haben es nicht mehr nur auf Produkte abgesehen, sie haben es auf die Entwickler abgesehen, die sie entwickeln. Solange Build-Pipelines und Repositories unzureichend geschützt bleiben, erben Unternehmen unweigerlich das Risiko ihrer Zulieferer.
