Een omvangrijke campagne met de GlassWorm-malware richt zich op ontwikkelomgevingen en blijkt veel groter en geavanceerder dan eerder bekend. Honderden softwarecomponenten binnen populaire ecosystemen zoals GitHub, npm en extensiemarktplaatsen voor ontwikkelomgevingen zijn besmet geraakt, zo melden diverse bronnen waaronder opensourcemalware.com.

Beveiligingsonderzoeken tonen aan dat in korte tijd meer dan vierhonderd repositories, packages en extensies zijn gecompromitteerd. De besmettingen spreiden zich uit over verschillende programmeertalen en platformen, waaronder Python- en JavaScript-projecten op GitHub en extensies voor Visual Studio Code en OpenVSX. De aanval maakt gebruik van een supply chain-aanpak waarbij kwaadaardige code wordt geïntegreerd in ogenschijnlijk legitieme softwarecomponenten. Vaak ontstaat de eerste toegang via gecompromitteerde GitHub-accounts, waarna aanvallers wijzigingen doorvoeren in bestaande repositories. De malware verspreidt zich vervolgens via package managers en extensieplatformen.

Technisch gezien valt de command-and-controlstructuur op, die gebruikmaakt van de Solana-blockchain om instructies op te halen. Nieuwe opdrachten worden verborgen in transactiememo’s, wat detectie bemoeilijkt en traditionele netwerkblokkades minder effectief maakt. De payload is gericht op het verzamelen van gevoelige informatie uit ontwikkelomgevingen, zoals cryptowalletgegevens, toegangsgegevens, tokens en SSH-sleutels. Soms wordt aanvullende software geïnstalleerd, waaronder een Node.js-omgeving voor verdere kwaadaardige activiteiten. De infrastructuur wordt actief aangepast via blockchaintransacties, wat duidt op een dynamische operatie.

De aanval beperkt zich niet tot één platform; dezelfde technieken worden gelijktijdig op meerdere ecosystemen ingezet. Analyse van de code suggereert een mogelijk Russischtalige actor, hoewel harde attributie ontbreekt. Opvallend is dat systemen met een Russische taalinstelling worden vermeden, een kenmerk dat vaker bij bepaalde dreigingsgroepen voorkomt. De kwaadaardige code is sterk geobfusceerd, onder andere met onzichtbare Unicode-tekens, waardoor detectie door ontwikkelaars en beveiligingstools wordt bemoeilijkt. Onderzoekers adviseren ontwikkelaars en organisaties om kritisch te zijn op externe afhankelijkheden en te letten op indicatoren zoals ongebruikelijke bestanden of afwijkingen in Git-geschiedenis.

Deze campagne onderstreept dat de softwareketen een aantrekkelijk doelwit blijft voor aanvallers. De focus verschuift steeds meer naar de bouwstenen van software, wat de noodzaak vergroot voor strikte controle en monitoring van gebruikte componenten binnen ontwikkelomgevingen.