CrowdStrike schakelt blockchain-botnet uit

De uitschakeling van Glassworm markeert een belangrijke verschuiving in het dreigingslandschap. Cybercriminelen richten hun pijlen steeds minder vaak op het eindproduct, maar vaker op de softwareontwikkelaars die het bouwen. Ontwikkelaars hebben immers toegang tot broncode-repositories, cloudplatforms, CI/CD-pipelines en pakketregisters. Een geslaagde aanval op één werkstation van een programmeur kan zo leiden tot een grootschalige supply-chain-aanval die duizenden achterliggende organisaties treft.

Geavanceerde aanvalsmethoden

Sinds begin 2025 verspreidden de operators van Glassworm hun kwaadaardige software via verschillende platforms. Ze maakten gebruik van vervalste VSCode-extensies in de OpenVSX-marktplaats, vermomd als populaire tools zoals tijdtrackers. Hiermee werden gebruikers van code-editors zoals VSCode, Cursor en Windsurf getroffen.

Daarnaast infecteerden zij legitieme npm- en Python-pakketten via kwaadaardige installatiescripts, en wisten zij via gestolen inloggegevens de code in meer dan 300 GitHub-repositories aan te passen. De malware, die zowel Windows, macOS als Linux trof, stal inloggegevens en installeerde een zogeheten Remote Access Trojan (GlasswormRAT).

Decentralisatie via de blockchain

De infrastructuur van Glassworm was ontworpen om traditionele cyberacties te overleven door gebruik te maken van vier redundante lagen:

Solana-blockchain: De IP-adressen van de C2-servers stonden gecodeerd in transactievelden, wat een onverwoestbare en publieke locatie opleverde.

BitTorrent Distributed Hash Table (DHT): De malware zocht binnen dit decentrale peer-to-peer-netwerk naar configuratiedata.

Google Calendar: Gecodeerde serverpaden werden verborgen in de titels van publieke agenda-afspraken.

Directe VPS-serververbindingen: Traditionele servers voor de uiteindelijke payload-aflevering.

Een aanval op slechts één van deze kanalen had de criminelen de kans gegeven het netwerk snel te herstellen. Een gelijktijdige, precisie-aanval op alle vier de pijlers bleek de sleutel tot succes.

Russische sporen

Volgens CrowdStrike wijzen de technische sporen in de richting van Russische cybercriminelen. De malware controleert bij de start de taal- en tijdzone-instellingen van het slachtoffer en stopt direct met werken als het systeem zich in een GOS-land (Gemenebest van Onafhankelijke Staten) bevindt. Dit is een bekende tactiek van hackers in die regio om vervolging in eigen land te voorkomen. Daarnaast bevat de broncode diverse Russischtalige commentaren.

CrowdStrike benadrukt dat achteraf detecteren niet langer volstaat om de softwareketen te beveiligen; een agressievere houding waarbij criminele infrastructuren actief worden ontmanteld is noodzakelijk. Organisaties die controleren op besmettingen kunnen hun netwerklogs controleren op verbindingen naar het IP-adres 164.92.88[.]210. Dit adres is nu in handen van CrowdStrike; actieve signalen daarnaartoe duiden op een Glassworm-infectie die onmiddellijke actie vereist.