Heute ist der 1.06.2026 und wir haben spannende Neuigkeiten aus der Welt der Cyber-Sicherheit. Am 26. Mai 2026 gelang es dem Counter Adversary Operations-Team von CrowdStrike, das berüchtigte Glassworm-Botnetz zu zerschlagen. Ein Coup, der nicht nur für die Sicherheit von Softwareentwicklern von Bedeutung ist, sondern auch das gesamte Ökosystem der Software-Lieferkette auf den Prüfstand stellt.
Das Glassworm-Botnetz, das seit mindestens Anfang 2025 aktiv war, zielte gezielt auf Softwareentwickler ab. Dabei wurden nicht nur schadhafte Node.js-Fernzugriffstools, bekannt als GlasswormRAT, eingesetzt. Manipulierte Erweiterungen fanden ihren Weg auf den OpenVSX-Marktplatz und tarnten sich als nützliche Tools. Betroffene Editoren waren unter anderem VSCode, Cursor und VSCodium. Diese Listigkeit zeigt, wie kreativ Cyberkriminelle sein können – und wie wichtig es ist, stets wachsam zu sein.
Die Komplexität der Angriffe
Die Angriffe waren plattformübergreifend und zogen sich über Windows, macOS und Linux. Über npm- und Python-Pakete wurde schadhafter Code in Hintergrundprozesse eingeschleust. Über 300 GitHub-Repositorys wurden mit gestohlenen Zugangsdaten kompromittiert. Eine einzige Kompromittierung einer Entwickler-Workstation kann also weitreichende Folgen haben – das ist fast wie ein Dominoeffekt, der nicht nur den Einzelnen, sondern auch viele nachgelagerte Organisationen betrifft.
Die Architektur des Glassworm-Botnetzes war auf Ausfallsicherheit ausgelegt. Es nutzte vier Command-and-Control-Kanäle (C2), die alle gleichzeitig abgeschaltet wurden, was entscheidend für den Erfolg der Operation war. Ein cleverer Schachzug, könnte man sagen! Die Kanäle waren vielfältig: von der Solana-Blockchain als unveränderlichem Ablageort für Serveradressen bis hin zu Google Kalender, der als verdeckter Ablageort für C2-Pfade diente. Sogar BitTorrent DHT wurde für die Kommunikation und den Abruf von Konfigurationsdaten eingesetzt. So viel Kreativität im Verborgenen!
Ein Blick auf die Hintergründe
CrowdStrike vermutet sogar, dass die Betreiber des Botnetzes wahrscheinlich in Russland ansässig sind. Indizien wie eine Selbstabbruch-Funktion der Malware bei GUS-Ländern und russischsprachige Kommentare im Quellcode sprechen für sich. Für alle, die ein bisschen technischer unterwegs sind, gibt es auch Netzwerkindikatoren, wie die IP-Adresse 164.92.88[.]210, die auf eine aktive Infektion hinweist. CrowdStrike stellt sogar YARA-Regeln zur Verfügung, um Infektionen zu bestätigen. Das ist ein Schritt in die richtige Richtung, um gegen diese Arten von Bedrohungen vorzugehen.
Die Zerschlagung des Glassworm-Botnetzes zeigt eindrucksvoll, dass koordinierte Eingriffe gegen kriminelle Infrastruktur möglich sind und notwendig bleiben. Denn das Ökosystem der Software-Lieferkette hat strukturelle Schwächen, die es zu adressieren gilt. Gute Software-Sicherheit ist wie ein gut geöltes Uhrwerk – alles muss ineinandergreifen, damit es reibungslos funktioniert.