Entre nos nossos canais do Telegram e WhatsApp para notícias em primeira mão.
Uma operação internacional coordenada por Google, CrowdStrike e a organização sem fins lucrativos Shadowserver resultou no desmantelamento da botnet Glassworm. A rede criminosa vinha atuando há pelo menos dois anos, comprometendo a segurança digital de centenas de projetos e empresas de tecnologia. Segundo a pesquisa, detalhada pela CrowdStrike, a Glassworm priorizava a infiltração na cadeia de suprimentos de software de código aberto.
3 conexões em 1 mouse: USB-C, 2.4GHz e Bluetooth 5.2 para jogar e trabalha
Desenvolvedores como alvo principal
Os hackers não se limitavam a vulnerabilizar produtos finais. Eles concentravam esforços em comprometer diretamente os desenvolvedores, considerados “alvos de valor excepcionalmente alto” . O relatório da empresa de cibersegurança explica o motivo:
“Comprometer a estação de trabalho de um único desenvolvedor pode desencadear uma brecha na cadeia de suprimentos que afete milhares de organizações e usuários.”
A preferência por esses alvos reflete a crescente dependência de plataformas colaborativas, como GitHub e o mercado de extensões OpenVSX, onde a confiança no código compartilhado virou um novo vetor de ataque. Mais de 300 repositórios do GitHub foram contaminados com software malicioso durante a operação da Glassworm.
39%OFF: 7º mais vendido da Positivo: Ryzen 5 + 16GB RAM + SSD 512GB com 4.9⭐
Técnicas sofisticadas e diversificadas
O grupo responsável empregou uma série de métodos para propagar o malware:
-
Publicação de extensões maliciosas nos mercados usados por desenvolvedores.
-
Campanhas de malvertising: anúncios patrocinados em mecanismos de busca que direcionavam para downloads de malware.
-
Exploração de credenciais roubadas em ataques anteriores para sequestrar contas de desenvolvedores e modificar o código-fonte de projetos populares.
Infraestrutura resiliente
A empresa de segurança Koi, que identificou a ameaça pela primeira vez em outubro de 2025, destacou que a Glassworm utilizava injeção de código invisível baseada em Unicode e uma infraestrutura de comando e controle (C2) distribuída. Os servidores C2 operavam com tecnologias como:
-
A blockchain Solana.
-
A rede peer-to-peer BitTorrent.
-
Serviços de calendário como o Google Calendar.
-
Servidores privados virtuais (VPS).
Essa arquitetura proporcionava alta resiliência e evasão contra tentativas de bloqueio.
Coordenação internacional
A operação para desativar a rede de bots foi executada de forma simultânea nos quatro canais principais de comando e controle da Glassworm. A intervenção ocorreu às 14h UTC de uma terça-feira recente, interrompendo o acesso dos operadores às máquinas infectadas e sua capacidade de distribuir novas cargas maliciosas.
“Como parte de nossos esforços para neutralizar as ameaças, estamos trabalhando com parceiros para causar mais danos aos atacantes, especialmente quando vemos que abusam de nossos produtos ou atacam nossos usuários”, afirmou John Hultquist, analista-chefe do Grupo de Inteligência de Ameaças do Google, em publicação nas redes sociais.
Contexto de ameaças em evolução
A ofensiva contra a Glassworm ocorreu em meio a uma crescente sofisticação dos ataques à cadeia de suprimentos de software. Semanas antes, diferentes atores comprometeram projetos de código aberto para distribuir atualizações contaminadas em uma campanha batizada de Mini Shai-Hulud. Nesse caso, um desenvolvedor vinculado à OpenAI foi afetado. Em março, um suposto hacker de origem norte-coreana sequestrou a ferramenta de desenvolvimento Axios, amplamente utilizada na comunidade de software livre.
Capacidades avançadas do worm
O worm Glassworm se destacou por sua capacidade de autopropagação e por converter as máquinas dos desenvolvedores em nós proxy para atividades criminosas. Além disso, o grupo gerou sua própria ferramenta de acesso remoto, batizada de GlasswormRAT, compatível com os sistemas Windows, macOS e Linux e projetada para roubar credenciais e outras informações sensíveis.