Mysteriöse Malware: Angreifer kapern Github-Projekte und verbreiten Schadcode
Sicherheitsforscher von Stepsecurity warnen vor einer aktuellen Angriffskampagne namens Forcememo, für die bereits Hunderte von Github-Konten gekapert worden seien. Laut Blogbeitrag der Forscher(öffnet im neuen Fenster) nutzen die Angreifer die infiltrierten Accounts, um anschließend Schadcode in bestehende Softwareprojekte einzuschleusen. Der Fokus liegt vor allem auf Python-Projekten.
Zu ersten Attacken kam es nach Angaben der Forscher am 8. März 2026. In ihrem Beitrag schildern sie Aktivitäten bis zum 14. März, die Kampagne soll aber immer noch laufen, so dass weitere erfolgreiche Kontoübernahmen zu erwarten sind.
Die Github-Konten werden durch Infektionen mit einer Malware namens Glassworm übernommen, die über bösartige Erweiterungen für VS Code sowie den KI-Code-Editor Cursor verbreitet wird. Warnungen vor entsprechenden Attacken gab es zuletzt unter anderem von Aikido(öffnet im neuen Fenster) und Socket(öffnet im neuen Fenster) .
Forscher von Koi hatten erstmals im Oktober 2025 über Glassworm berichtet(öffnet im neuen Fenster) .
Russische Systeme bleiben geschützt
Glassworm verfügt den Angaben zufolge über ein spezielles Modul, mit dem die Malware Github- und NPM-Zugangsdaten ausleitet. Die Angreifer können dann die jeweiligen Konten übernehmen. Wenn eines der Konten für die Verwaltung von Python-Projekten dient, wird dort jeweils Schadcode in zentrale Dateien wie setup.py, main.py oder app.py eingeschleust. Der wird auf Entwicklersystemen bei der Installation mittels "pip install" ausgeführt.
Angriffspunkt ist jeweils der Default-Branch des Projekts. Der Schadcode wird dort mit einem Git-Rebase(öffnet im neuen Fenster) in den letzten Commit eingeschleust. Die Commit-Nachricht sowie Angaben zum Autor werden beibehalten, so dass der Angriff nur auffällt, wenn der Zeitstempel des jeweiligen Commits gecheckt wird.
Der eingeschleuste Schadcode ist laut Stepsecurity hochgradig verschleiert, somit wird der Zweck nicht sofort ersichtlich. Die Forscher fanden jedoch heraus, dass die Ausführung abgebrochen wird, sofern russische Spracheinstellungen sowie eine entsprechende Zeitzone erkannt werden. Ein ähnliches Verhalten wurde bereits bei anderen Malware-Kampagnen beobachtet .
Verschlüsselter Schadcode vermutlich für Datenklau
Wird die Prüfung bestanden, lädt die Schadsoftware weitere Anweisungen über die Blockchain des Kryptoprojekts Solana(öffnet im neuen Fenster) nach. Dadurch gelangt Version 22.9.0 der Laufzeitumgebung Node.js sowie damit auszuführender Javascript-basierter Schadcode auf das Zielsystem. Letzterer ist verschlüsselt, die Forscher konnten den bisher nicht analysieren.
Das Forscherteam nimmt aufgrund von Ähnlichkeiten mit vergleichbaren Kampagnen an, dass die Angreifer mit der Malware versuchen, Zugangsdaten, private Schlüssel und andere schützenswerte Informationen abzugreifen und Kryptowallets zu plündern.
Allen, die prüfen wollen, ob sie betroffen sind, geben die Forscher mehrere Empfehlungen(öffnet im neuen Fenster) . Dazu zählt, dass die genutzten Python-Dateien nach der Zeichenkette "lzcdrtfxyqiplpd" durchsucht werden sollten. Es handelt sich um den Namen einer Variablen, die in dem Schadcode genutzt wird.
Stepsecurity geht wegen inhaltlicher und zeitlicher Zusammenhänge sowie Übereinstimmungen bei der Infrastruktur davon aus, dass hinter Glassworm und Forcememo die gleichen Angreifer stecken. Von den jüngsten Glassworm-Angriffen sollen mindestens 151 Code-Repos betroffen sein, bei Forcememo über 240.
Auflistungen einiger betroffener Github-Konten, Softwareprojekte und VS-Code-Erweiterungen sind in den jeweiligen Blogbeiträgen zu finden.
- Anzeige Hier geht es zu Blockchain für Entwickler: Das Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.