CrowdStrike heeft, in samenwerking met Google en de Shadowserver Foundation, de gelijktijdige verstoring aangekondigd van alle command-and-control (C2)-kanalen die verband houden met GlassWorm, een aanhoudende softwareketencampagne die zich richt op softwareontwikkelaars via kwaadaardige pakketten en extensies.
“Sinds begin 2025 hebben GlassWorm-operators zich systematisch gericht op softwareontwikkelaars, een populatie met toegang tot broncoderepository’s, cloudplatforms, CI/CD-pijplijnen en pakketregisters”, aldus CrowdStrike.
Deze ontwikkeling komt omdat ontwikkelaars steeds meer lucratieve doelwitten zijn geworden voor het uitvoeren van aanvallen op de softwaretoevoerketen, waardoor aanvallers één enkel gecompromitteerd werkstation kunnen gebruiken om duizenden downstream-organisaties en gebruikers tegelijk te beïnvloeden.
GlassWorm heeft sinds zijn opkomst vorig jaar een ‘meervoudige campagne’ gevoerd met behulp van trojanized VS Code-extensies die zijn gepubliceerd op zowel de Microsoft VS Code Marketplace als Open VSX, waardoor het mogelijk wordt gemaakt om gebruikers van VS Code-forks zoals Cursor, Positron, Windsurf en VSCodium te targeten.
Het is ook bekend dat de campagne kwaadaardige code heeft geïntroduceerd via gecompromitteerde npm- en Python-pakketten. Het einddoel van de aanvallen is het leveren van een raamwerk voor gegevensdiefstal met het verzamelen van inloggegevens, exfiltratie van cryptocurrency-portemonnees en mogelijkheden voor systeemprofilering.
Latere iteraties van GlassWorm bleken een op Websocket gebaseerde JavaScript RAT genaamd GlassWormRAT te gebruiken om webbrowsergegevens te stelen en willekeurige code uit te voeren, inclusief het installeren van een Google Chrome-extensie die op zijn beurt gevoelige gegevens verzamelt, waaronder schermafbeeldingen, toetsaanslagen en klembordinhoud, van het geïnfecteerde systeem.
“Eenmaal actief zoekt de malware de host naar inloggegevens van ontwikkelaars (GitHub, NPM, OpenVSX-tokens, crypto-wallets), waardoor verdere compromittering van opslagplaatsen en pakketuploads mogelijk wordt”, aldus Endor Labs-onderzoeker Kiran Raj.
“Geïnfecteerde hosts worden omgezet in geheime infrastructuur: SOCKS-proxy’s, verborgen VNC (HVNC)-servers en knooppunten voor externe uitvoering (via WebRTC of voortgebrachte Node.js-processen). Dat geeft aanvallers geanonimiseerde netwerktoegang tot bedrijfs- en persoonlijke netwerken en een platform om zich verder te verspreiden.”
Cumulatief zou de kwaadaardige activiteit meer dan 300 GitHub-opslagplaatsen hebben vergiftigd met behulp van gestolen ontwikkelaarsreferenties. Wat de operatie opmerkelijk maakte, was het gebruik van vier verschillende C2-kanalen voor verbeterde veerkracht:
“De combinatie van blockchain, peer-to-peer en legitieme webservices als resolutielagen is ontworpen om veerkrachtig te zijn tegen verwijderingen – een dynamisch front dat de daadwerkelijke C2-servers beschermt achter meerdere indirecte lagen”, aldus CrowdStrike.
Als gevolg van de verwijdering zijn alle vier de kanalen in een gecoördineerde inspanning gelijktijdig geneutraliseerd, zodat geïnfecteerde machines niet langer nieuwe instructies of ladingen kunnen ontvangen.
Het cyberbeveiligingsbedrijf omschreef de GlassWorm-operators als “met voldoende middelen en volhardend” en schreef de activiteit toe aan waarschijnlijk in Rusland gevestigde cybercriminelen, aangezien de malware de uitvoering op systemen in de landen van het Gemenebest van Onafhankelijke Staten (GOS) beëindigt en Russisch commentaar bevat.
“De software-toeleveringsketen blijft een van de meest consequente aanvalsoppervlakken in het moderne computergebruik”, concludeerde CrowdStrike. “Tegenstanders veranderen de afhankelijkheid van een organisatie van tools, updates en bibliotheken in bewapende leveringsmechanismen en forceren multipliers.”
“De barrière om een pakket of extensie te vergiftigen is laag; de potentiële explosieradius is enorm. Zolang ontwikkelaarsomgevingen, pijpleidingen en codeopslagplaatsen onderbeschermd blijven, erft elke organisatie die software gebruikt het risico van iedereen die het produceert. GlassWorm laat zien dat aanvallers dit weten en investeren in een veerkrachtige infrastructuur om blijvende toegang tot ontwikkelaarsecosystemen te behouden.”
