CrowdStrike haalt Glassworm-botnet uit de lucht

donderdag, 28 mei 2026 (10:09) - Techzine

In dit artikel:

CrowdStrike, samen met Google en de Shadowserver Foundation, heeft begin 2025 een internationaal botnet ontmanteld dat zich specifiek richtte op softwareontwikkelaars en open source‑softwareketens. Het netwerk, dat onder de naam Glassworm opereerde, misbruikte besmette extensies, gemanipuleerde npm- en Python‑packages en gehackte ontwikkelaarsaccounts om toegang te krijgen tot ontwikkelomgevingen en CI/CD‑pipelines.

Glassworm verspreidde kwaadaardige extensies via de OpenVSX‑marktplaats en trof niet alleen Visual Studio Code maar ook afgeleide editors zoals Cursor, Windsurf, Positron en VSCodium. Tijdens dependency‑installaties werden schadelijke packages automatisch uitgevoerd; meer dan driehonderd GitHub‑repositories zouden zijn aangepast nadat accounts waren gekaapt. De malware draaide op Windows, macOS en Linux en verzamelde inloggegevens, stal data en bood remote‑access via een Node.js‑tool genaamd GlasswormRAT. Gecompromitteerde ontwikkelaarsmachines fungeerden bovendien als proxyknooppunten voor criminele taken.

Opvallend was de veelzijdige en moeilijk te verstoren command‑and‑controlinfrastructuur: operators verstopten C2‑adressen in memo‑velden op de Solana‑blockchain, gebruikten de BitTorrent DHT voor configuratie en plaatsten Base64‑gecodeerde paden in Google Calendar‑evenementtitels, naast traditionele VPS‑servers. Omdat meerdere communicatiekanalen gelijktijdig actief waren, was een gecoördineerde, tegelijk uitgevoerde interrupte noodzakelijk om het netwerk effectief uit te schakelen; losse uitschakelingen zouden onvoldoende zijn geweest.

CrowdStrike vermoedt een Russische oorsprong van de operators op basis van taal‑ en regio‑controles in de malware en Russischtalige opmerkingen in de code, maar spreekt geen sluitende bewijslast uit. De ontmanteling illustreert de groeiende trend van supply‑chain‑aanvallen: door ontwikkelaars en package‑ecosystemen aan te vallen kunnen aanvallers in korte tijd duizenden downstream‑gebruikers bereiken. Voor organisaties betekent dit dat proactieve controle van ontwikkelaarsaccounts, strengere package‑verificatie en aandacht voor CI/CD‑beveiliging cruciaal blijven om ketenrisico’s te beperken.