GlassWorm-malware duikt op in ontwikkelomgevingen

In dit artikel:

De GlassWorm-campagne blijkt veel groter en geraffineerder dan eerder werd aangenomen: beveiligingsonderzoekers melden dat in korte tijd meer dan vierhonderd repositories, packages en extensies in populaire ontwikkelecosystemen zijn besmet. Getroffen platforms omvatten GitHub, npm en extensiemarkten voor IDE’s zoals Visual Studio Code en OpenVSX, met besmettingen in projecten van meerdere programmeertalen (onder meer Python en JavaScript).

Aanvallers werken via een supply-chain-aanpak: ze verkrijgen vaak eerst toegang tot GitHub-accounts en brengen vervolgens kwaadaardige wijzigingen aan in schijnbaar legitieme code, waarna de malware zich via package managers en extensieplatformen vanzelf verspreidt naar ontwikkelomgevingen. Technisch opvallend is het command-and-control-mechanisme: instructies worden opgehaald uit transactiememo’s op de Solana-blockchain, wat traditionele netwerkblokkering bemoeilijkt en de infrastructuur dynamisch maakt. De payload richt zich op het exfiltreren van gevoelige ontwikkelaarsgegevens zoals cryptowallets, tokens, SSH-sleutels en andere inloggegevens; soms wordt extra software (bijv. een Node.js-runtime) geïnstalleerd om verdere schadelijke scripts uit te voeren.

De campagne gebruikt geavanceerde verhullingsmethoden, onder andere onzichtbare Unicode-tekens, waardoor detectie door tools en mensen wordt bemoeilijkt. Analyse wijst op één centrale actor die meerdere distributiekanalen inzet; sommige indicatoren doen vermoeden dat de groep Russischtalig is, en de malware lijkt systemen met Russische taalinstellingen te mijden.

Onderzoekers waarschuwen ontwikkelaars en organisaties om extra waakzaam te zijn: let op ongebruikelijke bestanden in gebruikersmappen, verdachte wijzigingen in Git-geschiedenis en onverklaarde afhankelijkheden. Aanbevelingen zijn onder meer kritische beoordeling van externe packages, versiepinning, gebruik van 2FA en supply-chain-scans, en terughoudendheid bij het rechtstreeks installeren vanaf bronrepositories. De zaak benadrukt dat beveiliging steeds meer op de bouwstenen van software zelf gericht moet zijn, omdat de softwareketen een aantrekkelijk doelwit blijft.