Botnetz Glassworm zerschlagen: Angriff auf Entwickler gestoppt

Ein Schlag gegen die digitale Unterwelt: Ein Bündnis aus Sicherheitsfirmen und Technologiekonzernen hat das Botnetz „Glassworm" zerschlagen, das gezielt Softwareentwickler ins Visier nahm. Die Aktion am Dienstag, dem 26. Mai 2026, traf die Kommandoinfrastruktur des Netzwerks und kappte die Verbindung zwischen Schadsoftware und ihren Betreibern.

Botnetz mit ungewöhnlicher Zielsetzung

Glassworm stellte eine ernste Bedrohung für die globale Software-Lieferkette dar. Seit Anfang 2025 aktiv, unterschied sich das Botnetz grundlegend von üblichen Schädlingsnetzwerken: Statt auf Privatnutzer oder DDoS-Angriffe setzten die Täter auf die Infiltration von Entwicklungsumgebungen unter Windows, macOS und Linux. Ihr Ziel: Schadcode in legitime Softwareprodukte einschleusen, bevor diese die Endnutzer erreichen.

Angreifer nutzen zunehmend künstliche Intelligenz für ihre Attacken, was Unternehmen vor völlig neue Herausforderungen bei der Absicherung ihrer Infrastruktur stellt. Erfahren Sie in diesem kostenlosen Report, welche neuen Cyberrisiken und rechtlichen Pflichten Sie jetzt kennen müssen. Kostenlosen Cyber-Security-Report jetzt herunterladen

Die Sicherheitsforscher von CrowdStrike, Google und der Shadowserver Foundation arbeiteten dabei Hand in Hand.

Komplexe Kommandostruktur gekappt

Die Operation am 26. Mai erforderte höchste Präzision. Die Betreiber von Glassworm nutzen eine vierstufige Kommunikationsstrategie, die das Botnetz extrem widerstandsfähig machte. Um es endgültig lahmzulegen, musste die Koalition vier verschiedene Kommandokanäle gleichzeitig ausschalten:

• Die Solana-Blockchain
• BitTorrent Distributed Hash Tables (DHT)
• Google Kalender – als Versteck für Anweisungen im legitimen Datenverkehr
• Klassische Virtual Private Server (VPS)

Besonders die Nutzung dezentraler Technologien machte die Verfolgung und Zerschlagung schwierig. Die Täter verbargen ihre Anweisungen in harmlos wirkendem Web-Traffic und umgingen so viele Unternehmens-Firewalls. Trotz dieser Täuschungsmanöver gelang der Taskforce die Neutralisierung.

CrowdStrike hat mittlerweile technische Indikatoren veröffentlicht, darunter YARA-Regeln und eine primäre Erkennungs-IP. Die Ermittlungen zu den Drahtziehern laufen – erste forensische Spuren deuten auf Russland als Ursprungsland hin.

Angriff auf die Entwickler-Ökosysteme

Die Infektionsstrategie von Glassworm zielte auf das Herz der Softwareentwicklung. Die Täter setzten auf drei Haupteinfallstore:

• Trojanisierte Visual Studio Code (VS Code)-Erweiterungen
• Kompromittierte npm-Pakete
• Schädliche Python-Pakete

Sobald ein Entwickler eine dieser verseuchten Ressourcen herunterlud oder ausführte, verschaffte sich die Malware Zugang zur lokalen Umgebung. Die Ermittler identifizierten über 300 manipulierte GitHub-Repositories, die mit der Glassworm-Infrastruktur verbunden waren.

Diese Methode der „Lieferkettenvergiftung" ist besonders tückisch, weil sie das Vertrauen ausnutzt, das Entwickler in Open-Source-Ökosysteme setzen. Ein infizierter Rechner konnte Daten abziehen oder Schadcode im gesamten Unternehmensnetzwerk verbreiten.

Zwei Großangriffe innerhalb weniger Tage

Die Zerschlagung von Glassworm fällt in eine Phase erhöhter Aktivität im Entwickler-Sicherheitsbereich. Erst Anfang Mai 2026 entdeckten Analysten eine separate Großattacke namens „Megalodon". Diese Kampagne, die am 18. Mai identifiziert und bis zum 20. Mai vollständig analysiert wurde, befiel über 5.500 GitHub-Repositories durch eine Technik namens „Poisoned Pipeline Execution" in GitHub Actions.

Obwohl beide Angriffe unterschiedlich operierten, zeigen sie einen besorgniserregenden Trend: Angreifer zielen zunehmend auf die Infrastruktur, die moderne digitale Dienste erst ermöglicht.

KI-gestützte Malware und „bulletproof" Hosting

Der Fall Glassworm ist Teil eines größeren Wandels in der Cybersicherheit. Künstliche Intelligenz und widerstandsfähige Hosting-Dienste spielen eine immer größere Rolle. Mitte Mai 2026 führten niederländische Behörden eine Großrazzia gegen sogenannte „bulletproof" Hosting-Dienste durch, die von russischen Akteuren genutzt wurden. Am 18. Mai nahmen Beamte in Amsterdam und Den Haag zwei Personen fest, die die Firma Stark Industries unterstützt haben sollen – ein Dienstleister für DDoS-Angriffe gegen europäische Ziele. Bei der Razzia wurden über 800 Server beschlagnahmt.

Parallel dazu nimmt der Einsatz von KI in schädlichen Aktivitäten zu. Ende Mai 2026 berichtete Google von der Abwehr eines KI-gestützten Angriffs auf Zwei-Faktor-Authentifizierungsdienste, der das Gemini-KI-Toolset nutzte. Auch die Iran-nahe Gruppe Nimbus Manticore weitete zwischen Februar und April 2026 ihre Operationen aus und setzte dabei auf KI-unterstützte Malware-Entwicklung gegen die Luftfahrt- und Softwarebranche in den USA und Europa.

Automatisierte Sicherheitsaudits als Gegenmittel

Um diesen Bedrohungen zu begegnen, setzt die Branche verstärkt auf automatisierte Sicherheitsprüfungen. Das Unternehmen Anthropic stellte kürzlich Ergebnisse seines Projekts Glasswing vor. Dabei scannte das KI-Modell Claude Mythos Preview Open-Source-Software und entdeckte über 10.000 Schwachstellen – fast 1.100 davon als hochriskant oder kritisch eingestuft. Von den gemeldeten Lücken wurden bereits 75 geschlossen. Das zeigt, wie groß der ungelöste Sicherheitsstau im Open-Source-Ökosystem ist.

Ausblick: Lieferkettensicherheit bleibt Herausforderung

Trotz des Erfolgs gegen Glassworm bleibt die Bedrohung für Softwareentwickler hoch. Alte Schwachstellen in der Internet-Infrastruktur bieten weiterhin Angriffsflächen. Erst am 20. Mai 2026 wurde ein langjähriger Fehler in der Chromium Background Fetch API öffentlich, nachdem Proof-of-Concept-Code versehentlich veröffentlicht wurde. Diese Lücke in Chrome und Edge könnte Angreifern ermöglichen, Webbrowser in dauerhafte Botnetz-Knoten zu verwandeln.

Auch US-Behörden stehen unter Druck. Die Cybersicherheitsbehörde CISA setzte den 27. Mai 2026 als Frist für Regierungsorganisationen, um eine kritische SQL-Injection-Lücke im Content-Management-System Drupal zu schließen. Weltweit wurden bereits über 15.000 Angriffsversuche auf diese Schwachstelle registriert, vor allem im Finanz- und Gaming-Sektor.

Für Entwickler ist der Glassworm-Vorfall eine eindringliche Mahnung: Dritte Erweiterungen und Bibliotheken müssen streng geprüft werden. Solange Angreifer ihre Kommandostrukturen auf dezentrale Plattformen verlagern und KI zur Beschleunigung der Malware-Produktion einsetzen, wird die Verteidigung der Software-Lieferkette noch mehr Zusammenarbeit zwischen Cloud-Anbietern, Sicherheitsfirmen und Open-Source-Maintainern erfordern. Unternehmen sollten striktere Pipeline-Sicherheitsprotokolle einführen, um manipulierte Commits und Erweiterungen zu erkennen – genau jene Methoden, die Glassworm im vergangenen Jahr so gefährlich machten.

de | wissenschaft | 69423030 |