Login
Close Menu
    botnet Glassworm,
    Cibersegurança Destaques Notícias

    CrowdStrike derruba botnet Glassworm em operação coordenada contra ataques à cadeia de suprimentos de software

    By 8 Mins Read

    A CrowdStrike, em parceria com o Google e a Shadowserver Foundation, desativou simultaneamente os quatro canais de comando e controle da botnet Glassworm, encerrando uma campanha de mais de um ano que transformou desenvolvedores de software no principal alvo de um grupo com provável origem na Rússia. O impacto: mais de 300 repositórios no GitHub comprometidos e infecções em Windows, macOS e Linux, com potencial de cascata para milhares de organizações

    Em 26 de maio de 2026, às 14h UTC, a equipe Counter Adversary Operations da CrowdStrike executou uma das operações de derrubada mais precisas já realizadas contra uma ameaça de cadeia de suprimentos de software.

    O alvo era a botnet Glassworm, uma estrutura que há mais de um ano colocava desenvolvedores no centro de uma campanha de comprometimento em larga escala. O resultado: quatro canais de comando e controle desativados ao mesmo tempo, operadores cortados de suas máquinas infectadas e uma janela aberta para que as organizações afetadas iniciem a remediação.

    O que é a Glassworm e quando começou

    A Glassworm é uma botnet global voltada a desenvolvedores de software, com foco no comprometimento da cadeia de suprimentos de código aberto. A campanha foi detectada pela CrowdStrike com atividade documentada desde pelo menos o início de 2025, período em que os operadores começaram a construir e ampliar a infraestrutura de ataque.

    Desde o começo de 2025, os operadores da Glassworm visaram sistematicamente desenvolvedores de software, um grupo com acesso a repositórios de código-fonte, plataformas em nuvem, pipelines de CI/CD e registros de pacotes.

    Os envolvidos na operação que derrubou a botnet

    A operação de derrubada reuniu três organizações:

    • CrowdStrike (equipe Counter Adversary Operations): responsável pela inteligência de ameaça, pelo planejamento e pela execução da ação
    • Google: parceiro na desativação dos canais de infraestrutura, incluindo o uso indevido do Google Calendar como vetor de C2
    • Shadowserver Foundation: organização sem fins lucrativos especializada em monitoramento de ameaças e suporte a operações de disruption

    Do lado dos atacantes, os criminosos provavelmente têm base na Rússia. O malware verifica a localidade, as configurações de idioma e o fuso horário do sistema em tempo de execução, encerrando silenciosamente se detectar que a máquina está em um país da CEI – Comunidade de Estados Independentes, uma organização intergovernamental formada por antigas repúblicas da União Soviética após sua dissolução em 1991. Comentários em russo aparecem ao longo do código-fonte o que “sugere” a origem.

    Como o ataque funcionava

    A Glassworm explorou três vetores principais de infecção:

    Extensões trojanizadas do VSCode foram publicadas no marketplace OpenVSX, disfarçadas de ferramentas populares como rastreadores de tempo e formatadores de código. As extensões maliciosas miravam não apenas o VSCode, mas também Cursor, Positron, Windsurf, VSCodium e outros.

    Pacotes comprometidos de npm e Python introduziam código malicioso por meio de hooks de pós-instalação e scripts de configuração, executando silenciosamente durante a instalação de dependências de rotina.

    Mais de 300 repositórios no GitHub foram comprometidos com credenciais de desenvolvedores roubadas em infecções anteriores da Glassworm, com código malicioso inserido por force push nos branches padrão.

    A operação multiplataforma afetou sistemas Windows, macOS e Linux, com capacidades que incluíam roubo de informações, coleta de credenciais e um remote access tool completo baseado em Node.js, chamado GlasswormRAT.

    A infraestrutura de C2: projetada para sobreviver

    Um dos aspectos mais sofisticados da Glassworm era sua arquitetura de comando e controle, construída sobre quatro camadas distintas de resiliência:

    A blockchain Solana foi usada para codificar endereços de servidores C2 nos campos de memo de transações, criando um repositório imutável e publicamente acessível que não pode ser retirado do ar por meios convencionais.

    O BitTorrent DHT (Distributed Hash Table) foi explorado para que o GlasswormRAT consultasse a rede peer-to-peer em busca de dados de configuração armazenados contra chaves públicas fixas, aproveitando uma rede descentralizada global sem ponto único de falha.

    O Google Calendar foi usado como repositório de dados, com títulos de eventos codificando caminhos de C2 em Base64.

    Conexões diretas com servidores hospedados em provedores comerciais de VPS serviam como mecanismo final de entrega de payloads.

    Derrubar apenas um canal teria deixado os demais operacionais, permitindo que os operadores rapidamente reconstituíssem a infraestrutura. Todos os quatro canais precisaram ser desativados simultaneamente.

    Os estragos: escala e consequências

    A Glassworm é uma botnet global voltada a desenvolvedores de software, com foco no comprometimento da cadeia de suprimentos de código aberto

    O impacto potencial da Glassworm vai além do número de máquinas infectadas diretamente.

    Desenvolvedores representam alvos de alto valor: comprometer a estação de trabalho de um único desenvolvedor pode se transformar em um comprometimento de cadeia de suprimentos que afeta milhares de organizações e usuários downstream.

    Os operadores da Glassworm evoluíram continuamente ao longo de mais de um ano: adotando novas linguagens de programação (de JavaScript a Rust a Zig), expandindo por ecossistemas de pacotes (VSCode, npm, PyPI, GitHub) e construindo infraestrutura redundante projetada para sobreviver a tentativas de derrubada.

    Como indicador prático, todas as máquinas infectadas pela Glassworm agora enviam sinais para o endereço IP operado pela CrowdStrike, 164.92.88[.]210. Organizações devem revisar logs de rede e telemetria de endpoints em busca de conexões com esse endereço; qualquer correspondência indica uma infecção que requer remediação imediata.

    Como mitigar um ataque do tipo da Glassworm

    A CrowdStrike é explícita em seu diagnóstico: defender contra essas ameaças apenas com detecção após o fato é virtualmente impossível. Pacotes maliciosos são instalados por atualizações de dependências em segundos, e as detecções geralmente ocorrem quando o dano já está feito.

    As medidas de mitigação recomendadas cobrem camadas técnicas e organizacionais:

    • Verificar logs de rede em busca de conexões ao endereço 164.92.88[.]210, indicador definido pela CrowdStrike como sinal de infecção ativa
    • Aplicar as regras YARA publicadas pela CrowdStrike para confirmar infecções em endpoints identificados
    • Auditar extensões de IDE instaladas no ambiente de desenvolvimento, priorizando aquelas vindas de marketplaces alternativos como o OpenVSX
    • Revisar pacotes npm e Python com scripts de pós-instalação, especialmente em projetos com dependências de terceiros não verificadas
    • Implementar controles de acesso mais rígidos a repositórios, incluindo proteção de branches padrão contra force push
    • Monitorar credenciais de desenvolvedores em serviços de detecção de vazamentos, já que o roubo de credenciais foi o vetor de comprometimento dos repositórios GitHub
    • Adotar verificação de integridade de pacotes (checksums, SBOMs) como parte do pipeline de CI/CD

    Há dezenas de ecossistemas de pacotes, cada um com milhões de pacotes e controles de segurança integrados limitados. Atacantes podem publicar código malicioso e atingir milhares de vítimas em minutos. A mitigação efetiva exige, portanto, uma postura ativa, não apenas reativa.

    O que a operação demonstra

    O caso demonstra que a disrupção proativa de ameaças cibernéticas é alcançável, mesmo contra infraestrutura deliberadamente projetada para resiliência, e que ataques de precisão podem paralisar operações criminosas sem exigir anos de processo judicial.

    A colaboração entre setor privado, com inteligência de ameaça da indústria, e cooperação de plataformas tecnológicas cria as condições para ação decisiva. E ao cortar o comando e controle, máquinas infectadas são liberadas do controle dos adversários, dando às organizações a janela necessária para detectar e remediar comprometimentos.

    A cadeia de suprimentos de software segue como uma das superfícies de ataque mais críticas da computação moderna.

    A Glassworm demonstrou que adversários bem financiados investem em infraestrutura resiliente justamente para manter acesso persistente aos ecossistemas de desenvolvimento.

    A resposta da indústria precisa ser proporcional.

    Glossario

    Cadeia de suprimentos de software (supply chain attack) Tipo de ataque que não mira o alvo final diretamente, mas sim os fornecedores, ferramentas ou dependências que ele utiliza. Comprometer um pacote amplamente usado permite atingir milhares de organizações de uma só vez.

    Comando e controle (C2) Infraestrutura usada por atacantes para enviar instruções e receber dados de máquinas infectadas. Derrubar os servidores C2 é o equivalente a cortar a linha de comunicação entre o atacante e suas vítimas.

    RAT (Remote Access Tool) Ferramenta que permite ao atacante controlar remotamente um sistema comprometido, executar comandos, exfiltrar arquivos e manter acesso persistente à máquina infectada.

    Force push Operação em repositórios Git que sobrescreve o histórico de um branch à força, sem passar pelos controles normais de revisão. Usado pelos operadores da Glassworm para inserir código malicioso em repositórios legítimos.

    Postinstall hook Script executado automaticamente durante a instalação de um pacote de software. Explorado pela Glassworm para rodar código malicioso no momento em que um desenvolvedor instalava uma dependência aparentemente legítima.

    DHT (Distributed Hash Table) Estrutura de dados descentralizada usada em redes peer-to-peer, como o BitTorrent, para localizar e compartilhar informações sem depender de um servidor central. A Glassworm usou o DHT como um dos canais de C2 justamente por sua resistência a derrubadas.

    YARA Linguagem de regras usada por analistas de segurança para identificar e classificar malware com base em padrões de strings, comportamentos ou estruturas de arquivos. As regras YARA publicadas pela CrowdStrike permitem que organizações verifiquem se seus sistemas foram infectados.

    Fontes: CrowdStrike Counter Adversary Operations. “Disrupting Glassworm: Inside CrowdStrike’s Takedown of a Developer-Targeting Botnet.” CrowdStrike Blog, 26 maio 2026. Disponível em: crowdstrike.com

    IA Generativa: Seis Ataques de Identidade que Abalaram Grandes Empresas em 2026

    Microsoft e Resecurity Trabalham Juntos para Eliminar o Fox Tempest Desarticulando o Ecossistema de Assinatura de Código Cibercriminoso

    Ataques com IA deixam fase experimental e avançam no cibercrime

    ID Talk | Sérgio Muniz e Thiago Diogo: Riscos de Terceiros na Gestão de Identidade e Acesso Desafiam o Mercado

    O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.

    Conheça a coluna Cibersegurança.

    Cibersegurança

    Compartilhe:

    Produzido por: Insania

    © 2014  CryptoID. Todos os direitos reservados.

    Fique sempre informado sobre tudo o que acontece.

      Área de atuação*

      Nível de experiência*

      Isso vai fechar em 0 segundos