A CrowdStrike anunciou uma operação coordenada com o Google e a Shadowserver Foundation para desativar todos os canais de comando e controle (C2) utilizados pelo GlassWorm, uma campanha persistente de ataques à cadeia de suprimentos de software voltada principalmente para desenvolvedores. Segundo a empresa, a operação neutralizou simultaneamente todos os mecanismos utilizados pelos invasores para controlar máquinas infectadas e distribuir novos comandos ou cargas maliciosas.

De acordo com os pesquisadores, o grupo por trás do GlassWorm atua desde pelo menos o início de 2025 explorando o ecossistema de desenvolvimento moderno. O foco principal da campanha são desenvolvedores com acesso privilegiado a repositórios de código, pipelines CI/CD, plataformas cloud e registries de pacotes, permitindo que uma única estação comprometida seja usada para atingir milhares de organizações e usuários downstream.

A campanha ganhou destaque por utilizar extensões maliciosas trojanizadas distribuídas tanto no Microsoft VS Code Marketplace quanto no Open VSX. Isso permitiu que os operadores atingissem não apenas usuários do Visual Studio Code tradicional, mas também forks populares da plataforma, incluindo Cursor, Positron, Windsurf e VSCodium.

Além das extensões comprometidas, os invasores também introduziram código malicioso em pacotes npm e bibliotecas Python comprometidas. O objetivo final era instalar um framework de roubo de dados capaz de coletar credenciais, informações de carteiras de criptomoedas e realizar profiling detalhado dos sistemas infectados.

Pesquisadores identificaram que versões mais recentes da ameaça passaram a utilizar um RAT em JavaScript chamado GlassWormRAT, baseado em WebSocket. O malware permitia executar código arbitrário remotamente, roubar dados de navegadores e até instalar extensões maliciosas no Google Chrome para capturar screenshots, pressionamentos de teclas e conteúdos copiados para a área de transferência.

Segundo a Endor Labs, o malware procurava especificamente por credenciais de plataformas utilizadas por desenvolvedores, incluindo tokens do GitHub, NPM e OpenVSX, além de carteiras de criptomoedas. Esse acesso permitia aos operadores comprometer repositórios adicionais e distribuir novos pacotes contaminados.

Os pesquisadores também afirmam que os sistemas infectados eram transformados em infraestrutura clandestina para os próprios criminosos. As máquinas comprometidas podiam atuar como proxies SOCKS, servidores HVNC ocultos e nós de execução remota via WebRTC ou processos Node.js, oferecendo acesso anonimizado a redes corporativas e pessoais.

A investigação aponta que mais de 300 repositórios no GitHub foram contaminados utilizando credenciais roubadas de desenvolvedores comprometidos.

Um dos aspectos mais sofisticados da operação era sua arquitetura resiliente de comando e controle. O GlassWorm utilizava quatro canais distintos de C2 para dificultar interrupções e ações de takedown.

Entre os mecanismos identificados estavam o uso da blockchain Solana para armazenar endereços de servidores C2 em campos de memo de transações, consultas à rede peer-to-peer BitTorrent DHT para recuperar configurações maliciosas, utilização do Google Calendar como mecanismo de dead drop e conexões diretas para servidores hospedados em provedores comerciais de VPS.

Segundo a CrowdStrike, a combinação de blockchain, redes peer-to-peer e serviços legítimos da internet criava múltiplas camadas de indireção para esconder a infraestrutura real da operação e garantir resiliência contra derrubadas.

Na prática, mesmo que um canal fosse interrompido, os sistemas infectados ainda poderiam recuperar instruções através de outros métodos alternativos. A operação conduzida pelas empresas buscou justamente neutralizar todos esses canais simultaneamente para impedir a recuperação da infraestrutura.

A atribuição da campanha ainda não foi oficialmente confirmada, mas a CrowdStrike afirma que os operadores provavelmente possuem ligação com cibercriminosos russos. Entre os indícios observados estão comentários em russo no código do malware e um mecanismo que encerra automaticamente a execução em sistemas localizados em países da Comunidade dos Estados Independentes (CIS), comportamento frequentemente associado a grupos originários da região.

Os pesquisadores destacam que a cadeia de suprimentos de software continua sendo uma das superfícies de ataque mais críticas da computação moderna. Ferramentas de desenvolvimento, bibliotecas open source, extensões e pipelines automatizados se tornaram alvos estratégicos porque permitem ampliar drasticamente o impacto de uma invasão.

A CrowdStrike alerta que o baixo custo para comprometer um pacote ou extensão contrasta com o enorme potencial de disseminação dessas ameaças. Enquanto ambientes de desenvolvimento, pipelines de build e repositórios permanecerem insuficientemente protegidos, organizações continuarão herdando riscos provenientes de terceiros envolvidos na produção de software.