Die Glassworm-Kampagne markiert einen Paradigmenwechsel bei Supply-Chain-Angriffen. Innerhalb einer Woche kompromittierten die Angreifer 151 GitHub-Repositories und verteilten Schadcode über npm, VS Code Marketplace und Open VSX. Bereits der npm-Wurm Shai-Hulud hatte Ende 2025 erwarten lassen, dass solche Angriffe kein Einzelfall bleiben.
Die Glassworm-Malware kompromittierte 151 GitHub-Repositories und verteilte Schadcode über vier Ökosysteme gleichzeitig und bedroht die globale Software-Supply-Chain.
Ende Dezember vergangenen Jahres haben wir den npm-Wurm Shai-Hulud analysiert und dabei eine unbequeme These formuliert: Was dort an Techniken sichtbar wurde, war kein isolierter Vorfall, sondern ein Prototyp. Shai-Hulud hatte demonstriert, wie sich Schadcode über die Identität einzelner Entwickler und das implizite Vertrauen moderner CI/CD-Pipelines selbstständig verbreiten kann. Wir warnten damals, dass die Branche einen Fehler beging, indem sie den Vorfall als Einzelfall behandelte.
Keine drei Monate später nun die Glassworm-Kampagne den Beweis, dass diese Einschätzung nicht übertrieben war – und dass sich die Bedrohung schneller weiterentwickelt, als die meisten Sicherheitsteams antizipiert haben.
Zwischen dem 3. und 9. März kompromittierte der Glassworm mindestens 151 GitHub-Repositories und verteilte manipulierte Pakete über npm, den VS Code Marketplace und die Open VSX Registry – vier unterschiedliche Ökosysteme in einer einzigen, koordinierten Kampagne. Die technische Grundlage ist dabei ebenso elegant wie beunruhigend. Die Angreifer nutzten unsichtbare Unicode-Zeichen aus dem Private Use Area, um vollständige Schadcode-Payloads in Zeichenketten zu kodieren, die in jedem Editor, jedem Terminal und jedem Code-Review-Interface als leerer String erscheinen. Erst zur Laufzeit dekodiert ein kleiner Loader die versteckten Bytes und übergibt sie an eval().
Besonders aufschlussreich ist die Vorgehensweise im Open-VSX-Ökosystem. Statt den kompletten Schadcode in jede Extension einzubetten, setzten die Angreifer auf ein transitives Lademuster: Eine erste, vergleichsweise harmlos wirkende Extension fungierte als stiller Installer für eine zweite, stärker verschleierte Variante. Die gefährliche Payload entfaltet sich erst nach der Installation, wenn die erste Extension die zweite nachlädt. Damit hebelt Glassworm das Prüfmodell aus, auf das die meisten Extension-Marktplätze setzen – eine einmalige Begutachtung zum Zeitpunkt der Veröffentlichung.
Unter den Zielen befanden sich Repositories von Wasmer, Reworm und der Organisation hinter OpenCode und SST – Projekte mit realer Verbreitung im Downstream. Das ist kein Typosquatting, bei dem jemand auf Tippfehler hofft. Das ist gezielte Infiltration vertrauenswürdiger Codebasen.
In unserer Shai-Hulud-Analyse hatten wir mehrere konkrete Entwicklungspfade für Supply-Chain-Angriffe skizziert. Glassworm bestätigt drei davon in einer einzigen Kampagne.
Erstens die ökosystemübergreifende Koordination. Wir hatten vor dem „Polyglot Worm" gewarnt – einem Angriff, der Sicherheitssilos nahtlos durchquert. Glassworm operierte gleichzeitig in GitHub-Repositories, npm-Paketen, VS-Code-Erweiterungen und Open VSX. Ein JavaScript-Sicherheitsteam, das npm überwacht, hätte die kompromittierten GitHub-Repositories nicht bemerkt. Ein Team, das den VS Code Marketplace auditiert, hätte keinen Anlass gehabt, Open VSX zu prüfen. Der Angriff ist darauf ausgelegt, die Organisationsstruktur des Verteidigers auszuhebeln.
Zweitens die KI-gestützte Tarnung. Wir hatten prognostiziert, dass KI für Angreifer zum Skalierungsinstrument wird – vom sogenannten Hallucination Hijacking, bei dem Paketnamen registriert werden, die KI-Tools fälschlicherweise als existent vorhersagen, bis hin zur Automatisierung von Tarnmaßnahmen. Glassworm löst den zweiten Teil dieser Prognose ein. Die begleitenden Commits – Dokumentationsanpassungen, Versionsinkremente, kleinere Refactorings – sind stilistisch konsistent über die jeweiligen Zielprojekte hinweg. Bei mehr als 151 kompromittierten Repositories ist die manuelle Erstellung maßgeschneiderter Tarn-Commits schlicht nicht realistisch. Die Angreifer setzen mit hoher Wahrscheinlichkeit Large Language Models ein, um kontextuell passende Änderungen zu generieren, die sich nahtlos in die Projekthistorie einfügen.
Drittens die unsichtbare Persistenz. Wir hatten beschrieben, wie künftige Angriffe nicht mehr nur den Quellcode selbst, sondern die Tooling- und Identitätsschichten drumherum ins Visier nehmen würden. Glassworm modifiziert Code nicht in einer Form, die ein menschlicher Reviewer erkennen könnte. Der Schadcode verbirgt sich in der Encoding-Schicht, unterhalb der Abstraktion, die jedes moderne Entwicklungswerkzeug dem Entwickler präsentiert. Visuelles Code-Review greift hier nicht. Standardmäßiges Linting greift nicht. Die Angriffsfläche ist die Lücke zwischen dem, was die Maschine ausführt, und dem, was der Mensch wahrnimmt.
Warum herkömmliche Abwehrstrategien nicht ausreichen
Glassworm stellt eine Reihe von Grundannahmen infrage, auf die sich viele Sicherheitsorganisationen nach wie vor stützen. Wer darauf vertraut, dass Entwickler verdächtigen Code im Pull Request erkennen, muss zur Kenntnis nehmen, dass der Schadcode zwar im Diff vorhanden ist, aber von keinem menschlichen Auge wahrgenommen werden kann. Wer sein Vulnerability Management auf bekannte CVEs und veröffentlichte Advisories beschränkt, operiert mit einer Reaktionszeit, die Angreifer gezielt einkalkulieren. Und wer npm, GitHub, IDE-Erweiterungen und Open VSX als getrennte Vertrauensdomänen behandelt, hat exakt die Art von siloisierter Verteidigung aufgebaut, die Glassworm systematisch umgeht.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die unbequeme Konsequenz für Sicherheitsverantwortliche ist, den gesamten Entwicklungszyklus als zusammenhängende Angriffsfläche zu begreifen – vom lokalen Entwicklerarbeitsplatz über die Build-Systeme bis zu den Paketregistries. Das erfordert Sichtbarkeit, die über das hinausgeht, was die meisten Organisationen heute abbilden. Werkzeuge, die unsichtbare Unicode-Injection-Muster erkennen können – nicht nur in neuen Abhängigkeiten, sondern auch in bestehenden, die möglicherweise nachträglich kompromittiert wurden. Laufende Überwachung von Dependencies auf ungewöhnliche Aktivitäten wie plötzliche Maintainer-Wechsel, atypische Commit-Muster oder unerwartete Versionsupdates. Und eine Incident-Response-Fähigkeit, die schnell genug ist, um kompromittierte Komponenten über alle Umgebungen hinweg zu identifizieren und betroffene Zugangsdaten zu rotieren, bevor der Schaden sich ausbreitet.
Wer diese Sichtbarkeit und Reaktionsfähigkeit nicht aus eigenen Ressourcen aufbauen kann (oder will), sollte sich ehrlich fragen, ob spezialisierte Partner im Vulnerability Management der effizientere Weg sind, diese Lücken zu schließen.
Glassworm ist kein singuläres Ereignis, das sich mit einem Advisory und ein paar rotierten Credentials abhaken lässt. Die Kampagne markiert den Übergang von einem Bedrohungsmodell, das auf einzelne schadhafte Pakete fokussiert war, hin zu einer Realität, in der sich Würmer automatisiert, unsichtbar und ökosystemübergreifend verbreiten. Wer seine Sicherheitsarchitektur nicht darauf einstellt, verteidigt einen Status Quo, den es so nicht mehr gibt.
Wir haben das Advisory MONDOO-ADV-2026-668sg zu den bislang bekannten betroffenen npm-Paketen veröffentlicht und verfolgen die Kampagne weiter. Aber das Minimum reicht nicht. Denn was Glassworm zeigt, ist kein vorübergehendes Phänomen, sondern ein Paradigmenwechsel in der Art, wie Software-Supply-Chains angegriffen werden.
Über den Autor: Patrick Münch ist Mitgründer und CISO bei Mondoo.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bd/0a/bd0ae1a9b1d3c11b964f6ef4c05fa928/0130637860v2.jpeg "Die Glassworm-Malware kompromittierte 151 GitHub-Repositories und verteilte Schadcode über vier Ökosysteme gleichzeitig und bedroht die globale Software-Supply-Chain. (Bild: © valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5e/5f/5e5fce59c172bfd7ff483215d9054e7b/0130702366v2.jpeg "Unternehmen, die die betroffenen Produkte nutzen, die keine Sicherheitsupdates mehr erhalten, sollten die laufenden Ausnutzungsversuche ernst nehmen. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a6/c2/a6c2513dd80fd074600664127715e1fe/0130649790v2.jpeg "Das technische Wissen über Vorgehensweisen von Angreifern und die Analyse geopolitischer Risiken ermöglichen in ihrer Kombination ein vorausschauendes Verständnis der Bedrohungslage, wodurch Organisationen ihre Abwehr gezielt auf komplexe, politisch motivierte Cyberoperationen vorbereiten und priorisieren können. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1e/a8/1ea82c9ede1cb4112b01467d1a12ac5c/0130636224v2.jpeg "KI-Agenten sind weder klassische Nutzer noch Service Accounts. Unternehmen brauchen eine neue Identitätskategorie mit dynamischer Governance für autonome Agenten. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ef/eb/efeb11606d0aa9e2cfe51594f75183ac/0130742308v2.jpeg "Claude Mythos senkt die Kostenbarriere für Schwachstellensuche drastisch. Die Mean Time to Exploit schrumpft damit 2026 auf unter einen Tag. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/10/421019dae029864dc292726d498849e8/0129813815v2.jpeg "Ein Blick in die Zukunft: Das BSI erklärt in seiner technischen Richtlinie die Verschlüsselungsstandards RSA und ECC ab 2032 für unsicher, da Quantenrechner diese in Sekunden brechen können. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/14/77/147711b7cb94705578e44ab2430b97a4/0130522984v1.jpeg "C5:2026 bietet nicht nur Unternehmen und Behörden belastbare Informationen für das eigene Risikomanagement, sondern marktübergreifend Transparenz und Orientierung bei der Auswahl von Cloud-Anbietern. (Bild: © ipuwadol - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/73/b0737698c01bffce828096309032c85f/0130547557v2.jpeg "Graphtechnologie und GraphRAG ermöglichen Sicherheitsbehörden neue Ansätze für investigative Datenanalyse gegen vernetzte Täterstrukturen und terroristische Netzwerke. (Bild: © Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/bd/a2bdcca213aa2b874c6e7289b7b9bda9/0130236872v1.jpeg "Palo Alto Networks stellt Prisma Browser for Business vor: ein Unternehmensbrowser für KMU mit Schutz vor Phishing, Ransomware und KI-Datenlecks. (Bild: Palo Alto Networks)")
:quality(80)/p7i.vogel.de/wcms/e2/6e/e26e519ff76693bec7bef7c0a6b39585/0130399340v1.jpeg "Werden HTTP-Header in Anwendungen nicht geschrieben, verlieren Webbrowser und Zwischenstellen wichtige Schutzmechanismen. Dieses Risiko besteht aufgrund einer kritischen Sicherheitslücke in Spring Security. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0a/74/0a74c3714733ee1150695c07122016d4/0130708767v1.jpeg "Gegenüber Bleeping Computer bestätigte Basic-Fit, dass von dem Datendiebstahl rund eine Million Mitglieder betroffen sind. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/36/c2/36c2b3ad18b26c71518d7dd219106338/0130706037v2.jpeg "Wie viele Nutzer von Booking.com von dem Datenabfluss betroffen sind, ist öffentlich nicht bekannt. Der Anbieter habe jedoch alle Betroffenen per E-Mail informiert. (Bild: © Apichat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/56/a9568e19e71f36272b559071914c8a63/0126593157v1.jpeg "Das Computer Emergency Response Team der Europäischen Union (CERT-EU) hat die Aufgabe, Cyberangriffe gegen EU-Institutionen zu verhindern, zu erkennen und abzuwehren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/5c/e0/5ce060d4d2f8c718ecc850759b1b7c4d/0126593157v1.jpeg "External Attack Surface Management (EASM) ist die Verwaltung und Absicherung der von außen zugänglichen digitalen Assets und externen Angriffsflächen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/e5/13e52ba754a65049c995146bac2f5426/0130048944v2.jpeg "Das US-Außenministerium hat sechs Männer sanktioniert, die zu CyberAv3ngers gehören. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/de/92/de92f58a279ad049bc265bade34417bd/0130135264v2.jpeg "Besonders GitHub ist von GlassWorm betroffen, da Angreifer den Schadcode in weit verbreitete Repositories einschleusen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b5/c6/b5c61e5f31b62d92c0f27faa46795cd0/0126861941v2.jpeg "Der Wurm „Shai-Hulud“ ist ein sich selbstverbreitender Supply-Chain-Schädling, der über kompromittierte Maintainer-Accounts in npm-Pakete eindringt, dort bösartigen Code einfügt und so automatisch weitere Pakete infiziert und neu veröffentlicht. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/af/97/af97245494f5ed2d9e7a5e85d635821e/0129347165v2.jpeg "Am 15. September 2025 schlug der Entwickler Daniel Pereira Alarm: Er entdeckte, dass das beliebte npm-Paket „@ctrl/tinycolor“ mit Malware infiziert worden war. (Bild: © Creative_Bringer - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/2c/1c2c56c2cb8fe952631e9741158f7c7f/0125129708v1.jpeg "Shai-Hulud kompromittierte über 25.000 GitHub-Repositories im NPM-Ökosystem. Im Deep-Dive-Video mit Mondoo zeigen wir, wie man Supply-Chain-Angriffe rechtzeitig erkennen kann und welche Schutzmethoden es gibt. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/f2/7af27244e2a7e2020c8cf1e428560094/0129336301v2.jpeg "Self-hosted GitHub Actions Runner eignen sich aufgrund ihrer Eigenschaften – wie der Fähigkeit, beliebigen Code auszuführen und persistenten Zugriff auf interne Netzwerke zu bieten – für Angreifer perfekt, um dort Backdoors zu verstecken. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/2c/1c2c56c2cb8fe952631e9741158f7c7f/0125129708v1.jpeg "Shai-Hulud kompromittierte über 25.000 GitHub-Repositories im NPM-Ökosystem. Im Deep-Dive-Video mit Mondoo zeigen wir, wie man Supply-Chain-Angriffe rechtzeitig erkennen kann und welche Schutzmethoden es gibt. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/de/92/de92f58a279ad049bc265bade34417bd/0130135264v2.jpeg "Besonders GitHub ist von GlassWorm betroffen, da Angreifer den Schadcode in weit verbreitete Repositories einschleusen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")