Cyberkriminelle setzen nicht mehr nur auf Phishing oder Schadprogramme. Immer häufiger geraten Jene ins Visier, die Software entwickeln und damit die Grundlage für zahlreiche digitale Dienste schaffen. Genau vor diesem Hintergrund hat das Sicherheitsunternehmen CrowdStrike gemeinsam mit Google und der ShadowServer Foundation einen koordinierten Schlag gegen das Glassworm-Botnetz durchgeführt. Nach Angaben der Beteiligten wurden alle Steuerungs- und Kommunikationskanäle des Netzwerks gleichzeitig abgeschaltet.
Dadurch verloren die Betreiber die Verbindung zu kompromittierten Geräten. Gleichzeitig wurde verhindert, dass weitere Schadsoftware an betroffene Systeme ausgeliefert werden konnte. Die Aktion gilt als bedeutend, weil die mutmaßlichen Betreiber von Glassworm seit Anfang 2025 gezielt die Lieferkette von Softwareprojekten angegriffen haben sollen. Dabei nutzten sie laut den vorliegenden Erkenntnissen das Vertrauen, das Entwickler in bekannte Werkzeuge und Programmbibliotheken setzen.
Anstatt einzelne Endnutzer direkt anzugreifen, versuchten die Täter, Schadcode an der Quelle einzuschleusen. Besonders problematisch war laut den Sicherheitsforschern die Vorgehensweise der Angreifer. Sie sollen manipulierte Erweiterungen für den weit verbreiteten Programmiereditor VS Code verbreitet haben. Zusätzlich wurden kompromittierte Pakete für die Software-Plattformen npm und Python eingesetzt. Für Entwickler sind solche Pakete und Erweiterungen oft fester Bestandteil ihrer täglichen Arbeit.
Die Pakete helfen dabei, Programme schneller zu erstellen und Funktionen unkompliziert einzubinden. Genau dieses Vertrauen machten sich die Täter laut CrowdStrike zunutze. Die Kampagne beschränkte sich dabei nicht auf ein einzelnes Betriebssystem. Betroffen waren den Erkenntnissen zufolge Windows-, macOS- und Linux-Umgebungen. Damit erreichte die Gruppe potenziell einen großen Teil der weltweiten Entwicklergemeinschaft. Besonders brisant ist das Ausmaß der Manipulationen auf der Plattform GitHub.
Nach Angaben von CrowdStrike wurden mehr als 300 Repositories verändert. Dabei sollen gestohlene Zugangsdaten verwendet worden sein, die aus früheren Glassworm-Infektionen stammten. Mit diesen erbeuteten Entwickler-Konten konnten die Angreifer direkt auf bestehende Software-Projekte zugreifen. Anschließend brachten sie schädlichen Code über Force Pushes in die Standardzweige der Projekte ein. Dadurch bestand die Gefahr, dass manipulierte Software-Versionen weiterverbreitet werden.
Für Außenstehende wirkt ein solcher Angriff abstrakt. Die Folgen können jedoch weitreichend sein. Wird Schadcode in einer häufig verwendeten Komponente versteckt, kann sich dieser über zahlreiche Programme verbreiten. Sicherheitsforscher sprechen von Angriffen auf die Software-Lieferkette. Der Fall zeigt eindrucksvoll, warum Cyberkriminelle zunehmend Entwickler ins Visier nehmen. Während bei herkömmlichen Angriffen einzelne Nutzer betroffen sind, kann ein erfolgreicher Angriff auf einen Entwickler-Arbeitsplatz deutlich größere Auswirkungen haben.
Bereits ein kompromittierter Rechner kann ausreichen, um Schadcode in Projekte einzuschleusen, die anschließend von vielen anderen Personen oder Unternehmen genutzt werden. Dadurch entsteht eine Kettenreaktion. Nach Einschätzung von CrowdStrike lag genau darin das Ziel der Glassworm-Betreiber. Statt möglichst viele einzelne Opfer anzugreifen, konzentrierte sich die Gruppe auf wenige strategisch wichtige Ziele innerhalb der Softwareentwicklung.
Den vorliegenden Informationen zufolge gehen die Sicherheitsforscher davon aus, dass die Betreiber des Botnetzes wahrscheinlich in Russland sind. Eine Zuordnung ist allerdings schwierig. Täter verschleiern ihre Spuren und nutzen verteilte Infrastruktur, um ihre Aktivitäten zu verbergen. Unabhängig von der Herkunft zeigt der Fall, wie professionell Cyberkriminalität mittlerweile organisiert ist. Die Angriffe waren plattformübergreifend angelegt, nutzten gestohlene Zugangsdaten und zielten auf zentrale Bestandteile der Softwareentwicklung ab.
Die koordinierte Abschaltung der vier bekannten Steuerungskanäle soll nun verhindert haben, dass weitere Systeme infiziert werden. Gleichzeitig wurde die Verbindung zwischen den Angreifern und bereits kompromittierten Rechnern unterbrochen. Der Fall verdeutlicht einmal mehr, dass Angriffe auf die digitale Lieferkette zu den größten Herausforderungen der Cybersicherheit zählen. Entwickler gelten dabei zunehmend als attraktives Ziel für Kriminelle, weil über sie eine große Zahl weiterer Systeme erreicht werden kann.
