Glassworm greift mit unsichtbaren Unicode-Zeichen an
Eine neue Angriffswelle trifft die Open-Source-Welt: Eine Täterschaft namens "Glassworm" kompromittiert hunderte Repositories auf Github, NPM und in VS Code. Die Angreifer nutzen dazu unsichtbare Unicode-Zeichen, um Schadcode zu verstecken.
Das belgische Cybersecurity-Unternehmen Aikido warnt vor einer neuen, breit angelegten Angriffswelle des Akteurs "Glassworm". Die Kampagne kompromittiert seit Anfang März hunderte Open-Source-Projekte auf Github sowie Pakete im NPM-Registry und Erweiterungen im VS Code Marketplace.
Die Angriffsmethode ist heimtückisch: Die Täterschaft bettet Schadcode mithilfe unsichtbarer Unicode-Zeichen aus dem "Private Use Area" (PUA) direkt in den Quellcode ein, wie Aikido in einem Blogbeitrag schreibt. In Code-Editoren und bei der Code-Prüfung erscheinen diese Zeichen nicht, der Code wirkt harmlos. Die Javascript-Laufzeitumgebung verarbeitet die Zeichen jedoch. Ein kleiner, mitgelieferter Decoder-Schnipsel extrahiert die Nutzlast aus den unsichtbaren Zeichen und führt sie aus. In der Vergangenheit stahl der so aktivierte Schadcode sensible Daten wie Tokens und Zugangsdaten.
Prominente Ziele und KI-gestützte Tarnung
Aikido zählt nach aktuellem Stand mindestens 151 kompromittierte Repositories allein auf Github. Zu den Zielen gehören auch prominente Projekte wie reworm (über 1400 Sterne), opencode-bench von der Organisation hinter SST sowie ein Beispiel-Repository von Wasmer. Die Angriffe erstrecken sich zudem auf NPM-Pakete und VS-Code-Erweiterungen und deuten auf eine koordinierte, plattformübergreifende Operation hin.
Besonders bemerkenswert ist die Tarnung: Die schädlichen Commits tarnen sich als plausible Code-Anpassungen wie Fehlerbehebungen oder Versions-Updates, die stilistisch zum jeweiligen Projekt passen. Aikido vermutet, dass die Täterschaft grosse Sprachmodelle (LLMs) einsetzt, um die Tarnung in diesem grossen Massstab zu automatisieren.
Ein blosses Überprüfen des Codes per Auge oder mit Standard-Tools schützt vor dieser Methode nicht, da die schädlichen Zeichen unsichtbar bleiben. Fachleute raten daher zu aktiven Scans und spezialisierten Werkzeugen, die solche Injektionen erkennen können, um die eigene Software-Lieferkette zu schützen.
Im September 2025 übernahm Aikido übrigens das in Lausanne beheimatete Start-up Haicker, das eine Plattform zur KI-gestützten Simulation menschlicher Pentests entwickelt - mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Meta plant Stellenabbau von 20 Prozent wegen KI-Investitionen
Glassworm greift mit unsichtbaren Unicode-Zeichen an
Abraxas baut neue Steuerlösung für Graubünden
KI definiert das Marketingmandat neu
Kanton Freiburg lanciert KI-Chatbot auf Basis von Mistral AI
Android-Sicherheitslücke hebelt Displaysperre in unter einer Minute aus
Warum risikobasierte Governance der Schlüssel zur digitalen Souveränität ist
Stadt Zürich lanciert KI-Assistent für Mitarbeitende
Pallaskatze George möchte Mia um ein Date bitten - aber erntet nur Fauchen
