Russische geofencing ontdekt in gigantische GlassWorm-aanval
In een gecoördineerde aanval die de hele developer-community op scherp zet, hebben onderzoekers een massale malwarecampagne ontmaskerd genaamd "GlassWorm". De aanvallers maken gebruik van een 'quad-platform' strategie waarbij ze gelijktijdig toeslaan op GitHub, NPM, de VS Code Marketplace en Open-VSX. Met meer dan 430 gecompromitteerde projecten is dit een van de meest verfijnde supply chain-aanvallen van 2026.
Wat begon als drie afzonderlijke meldingen van security-vendors Aikido, Socket en Step Security, bleek na diepgaande analyse één monsterlijke operatie te zijn. De "smoking gun"? Een identiek Solana-blockchainadres dat in alle payloads werd aangetroffen.
De ontdekking: Eén beest, vier platformen
Onderzoekers ontdekten dat de verschillende aanvalsvectoren allemaal verbonden zijn met hetzelfde commando-en-controlesysteem (C2). Door de payloads te decoderen, vonden ze overal ditzelfde Solana-adres: BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC.
De impact is enorm:
- GitHub: Meer dan 151 repositories geïnfiltreerd via geavanceerde Unicode-obfuscatie.
- NPM: Malafide packages die legitieme libraries nabootsen.
- VS Code & Open-VSX: 72 extensies die developers rechtstreeks in hun IDE aanvallen.
- Python (PyPI/GitHub): Honderden Python-repo's overgenomen via account-takeovers en force-push aanvallen.
De Unicode-truc
De aanvallers maken gebruik van een duivels slimme techniek: onzichtbare Unicode-karakters. In een code-review lijkt een scriptfragment volledig legitiem of zelfs leeg, maar voor de computer bevat het duizenden verborgen instructies.
In NPM- en VS Code-bestanden ziet een developer bijvoorbeeld een lege string: eval(s(``)). In werkelijkheid bevat die string 8KB aan malware die pas bij uitvoering zichtbaar wordt voor de Node.js-runtime. Omdat menselijke ogen en de meeste standaard linting-tools dit niet zien, glipt de malware moeiteloos door het beveiligingsnet.
Blockchain als "onverwoestbaar" controlecentrum
GlassWorm markeert een paradigmaverschuiving in hoe malware wordt aangestuurd. In plaats van traditionele servers die door autoriteiten offline gehaald kunnen worden, gebruikt GlassWorm de Solana-blockchain.
De malware op de geïnfecteerde machine "pollt" elke 5 seconden het bewuste Solana-adres. De aanvallers plaatsen hun commando's (zoals nieuwe download-URL's) in de 'memo'-velden van blockchain-transacties. Omdat de blockchain gedecentraliseerd en onveranderlijk is, kunnen defenders dit C2-kanaal niet simpelweg afsluiten of in beslag nemen.
Herkomst: Russische geofencing
Hoewel de technieken doen denken aan Noord-Koreaanse groepen (zoals PolinRider), wijst infrastructuur-onderzoek naar Rusland. De malware bevat namelijk een 'geofence': een check die controleert of het systeem in het Russisch is ingesteld of zich in de tijdzone van Moskou bevindt. Is dat het geval? Dan sluit de malware zichzelf direct af. Dit is een klassieke tactiek van Oost-Europese cybercriminelen om vervolging in eigen land te voorkomen.
Wat moeten developers doen?
De aanval is nog steeds actief, met name in het Python-ecosysteem. Developers wordt geadviseerd de volgende stappen te ondernemen:
- Scan op specifieke markers: Zoek in je codebase naar de variabele
lzcdrtfxyqiplpd(uniek voor de Python-tak) of naar het Solana-adres. - Controleer Git-historie: Zoek naar force-pushes waarbij de committer-email op "null" staat.
- Audit VS Code Extensies: Controleer je geïnstalleerde extensies en verifieer of ze uit vertrouwde bronnen komen, vooral als ze tussen oktober 2025 en maart 2026 zijn geüpdatet.
