Empresas de segurança derrubaram simultaneamente os quatro canais de comando e controle usados pelo malware GlassWorm, que há mais de seis meses mira o ecossistema de código aberto. A CrowdStrike, em parceria com o Google e a Fundação Shadowserver, executou a operação para impedir o acesso às máquinas infectadas e a entrega de novas cargas maliciosas, conforme comunicado da CrowdStrike.
O malware utilizava a blockchain Solana para sua infraestrutura de C&C, com o Google Calendar, a rede peer-to-peer BitTorrent e servidores tradicionais hospedados em provedores comerciais de VPS atuando como canais secundários. Os operadores codificavam endereços nos campos de memo de transações da blockchain, que não podem ser modificados ou excluídos.
De acordo com os especialistas, a combinação de blockchain, redes peer-to-peer e serviços web legítimos foi projetada para ser resiliente contra derrubadas. Ao eliminar os quatro canais ao mesmo tempo, as empresas cortaram o acesso dos operadores às máquinas infectadas e sua capacidade de enviar novas instruções.
Identificado em outubro de 2025, o GlassWorm usava seletores de variação Unicode para esconder seu código em editores, tornando-o invisível a olho nu. O malware de autopropagação foi inicialmente distribuído por extensões trojanizadas do Visual Studio no mercado OpenVSX e, em novembro, também apareceu no GitHub. Em março de 2026, múltiplos projetos em Python foram comprometidos.
A CrowdStrike afirma que os operadores têm bons recursos e são persistentes, evoluindo continuamente ao longo de mais de um ano: adotaram novas linguagens de programação, expandiram por ecossistemas de pacotes e construíram infraestrutura redundante. O GlassWorm rouba informações sensíveis, como credenciais de NPM, GitHub e Git, além de fundos de dezenas de extensões de criptomoedas. Também implanta servidores proxy SOCKS e servidores VNC ocultos para acesso remoto.
Risco à cadeia de suprimentos
O acesso dos atacantes a credenciais roubadas criou risco contínuo de comprometimentos de alto impacto na cadeia de suprimentos, alerta o relatório. Todos os consumidores de software potencialmente afetado, incluindo empresas e outros tipos de organização, estiveram expostos.
Há indícios de que os operadores tenham origem russa: o malware verifica o idioma do sistema e evita infectar máquinas em países da CEI, e seu código contém comentários em russo. A empresa destaca que a derrubada é importante não apenas pelo botnet, mas porque o GlassWorm marcou uma mudança significativa no cenário de ameaças.
Verificação de infecção
Além de derrubar a infraestrutura, a CrowdStrike instruiu as máquinas infectadas a se comunicarem com o endereço IP benigno 164.92.88[.]210. Organizações devem verificar conexões com esse IP para identificar possíveis infecções.






