Especialistas Desativam Infraestrutura do Botnet Glassworm
Uma operação conjunta da CrowdStrike, Google e Shadowserver Foundation desativou a infraestrutura do botnet Glassworm, que visava desenvolvedores. O botnet utilizava uma arquitetura complexa e incomum, com múltiplos canais de comunicação, incluindo blockchain Solana, BitTorrent DHT e Google Calendar. A ação impediu que máquinas infectadas recebessem comandos dos operadores de malware.
MundiX News·28 de maio de 2026·3 min de leitura·👁 16 views
Representantes da CrowdStrike, Google e Shadowserver Foundation conduziram uma operação conjunta direcionada à infraestrutura do botnet Glassworm. Os pesquisadores desativaram simultaneamente todos os canais de comunicação do botnet — desde a blockchain Solana e BitTorrent DHT até o Google Calendar e VPS tradicionais. Como resultado, as máquinas infectadas não podem mais receber comandos dos operadores de malware.
O Glassworm surgiu no ano passado e rapidamente se tornou uma das ameaças mais notáveis para desenvolvedores. Os hackers distribuíram extensões maliciosas para o Visual Studio Code através do OpenVSX e da marketplace da Microsoft, infectaram pacotes npm e Python, e também comprometeram repositórios do GitHub. O principal objetivo desses ataques eram as credenciais dos desenvolvedores, informações sobre carteiras de criptomoedas e obter acesso às cadeias de suprimentos. Os operadores do Glassworm atacaram ativamente o ecossistema de forks do VS Code — Cursor, Windsurf, Positron e VSCodium. Por exemplo, em março de 2026, uma das campanhas afetou mais de 400 repositórios e extensões, e mais tarde os criminosos colocaram dezenas de extensões "dormentes" no OpenVSX, onde o código malicioso era ativado apenas após uma atualização.
A principal característica do Glassworm, segundo especialistas em segurança da informação, é a arquitetura incomum dos servidores de comando e controle (C2). Em vez de um C2 comum, os criminosos criaram uma infraestrutura multicamadas, resistente a bloqueios e desativações. Especificamente, os endereços dos servidores de comando eram armazenados diretamente nos campos memo das transações Solana. Além disso, o malware usava BitTorrent DHT para obter configurações através de chaves públicas hardcoded. Outro canal era o Google Calendar: o malware lia endereços de servidores de comando codificados em Base64 dos títulos dos eventos. E apenas na etapa final, servidores VPS comuns eram usados para entregar a payload. A CrowdStrike observa que desativar um desses canais não teria feito quase nada, pois o botnet simplesmente mudaria para outro método de comunicação. Portanto, os pesquisadores tiveram que neutralizar simultaneamente toda a infraestrutura do Glassworm.
Após a operação, todos os sistemas infectados começaram a se conectar ao endereço IP 164.92.88[.]210, controlado pela CrowdStrike. A empresa recomenda que os administradores verifiquem a atividade da rede em busca desse indicador de comprometimento e isolem imediatamente os sistemas comprometidos. Os pesquisadores também adicionaram regras YARA ao seu relatório para encontrar infecções. De acordo com a CrowdStrike, os operadores do Glassworm conseguiram envenenar mais de 300 repositórios do GitHub, usando credenciais roubadas de desenvolvedores. Além de roubar tokens e dados de carteiras de criptomoedas, o malware implantou o JavaScript-backdoor GlasswormRAT nos sistemas das vítimas, que roubava dados de navegadores, executava código arbitrário e até instalava uma extensão maliciosa do Chrome para keylogging, monitoramento da área de transferência e captura de screenshots.
Analistas da Endor Labs alertam que as máquinas infectadas se tornaram parte da infraestrutura dos atacantes e foram usadas como proxies SOCKS, servidores VNC ocultos (HVNC) e nós para execução remota de código (via WebRTC ou processos Node.js em execução). Isso permitiu que os hackers ocultassem suas atividades e usassem dispositivos comprometidos para ataques adicionais em redes corporativas e cadeias de suprimentos. Os pesquisadores acreditam que criminosos que falam russo provavelmente estão por trás do Glassworm. Isso é indicado por comentários em russo encontrados no código do malware, bem como pela verificação da geolocalização: o malware para de funcionar se for executado em sistemas de países da CEI.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Representantes da CrowdStrike, Google e Shadowserver Foundation conduziram uma operação conjunta direcionada à infraestrutura do botnet Glassworm. Os pesquisadores desativaram simultaneamente todos os canais de comunicação do botnet — desde a blockchain Solana e BitTorrent DHT até o Google Calendar e VPS tradicionais. Como resultado, as máquinas infectadas não podem mais receber comandos dos operadores de malware.
O Glassworm surgiu no ano passado e rapidamente se tornou uma das ameaças mais notáveis para desenvolvedores. Os hackers distribuíram extensões maliciosas para o Visual Studio Code através do OpenVSX e da marketplace da Microsoft, infectaram pacotes npm e Python, e também comprometeram repositórios do GitHub. O principal objetivo desses ataques eram as credenciais dos desenvolvedores, informações sobre carteiras de criptomoedas e obter acesso às cadeias de suprimentos. Os operadores do Glassworm atacaram ativamente o ecossistema de forks do VS Code — Cursor, Windsurf, Positron e VSCodium. Por exemplo, em março de 2026, uma das campanhas afetou mais de 400 repositórios e extensões, e mais tarde os criminosos colocaram dezenas de extensões "dormentes" no OpenVSX, onde o código malicioso era ativado apenas após uma atualização.
A principal característica do Glassworm, segundo especialistas em segurança da informação, é a arquitetura incomum dos servidores de comando e controle (C2). Em vez de um C2 comum, os criminosos criaram uma infraestrutura multicamadas, resistente a bloqueios e desativações. Especificamente, os endereços dos servidores de comando eram armazenados diretamente nos campos memo das transações Solana. Além disso, o malware usava BitTorrent DHT para obter configurações através de chaves públicas hardcoded. Outro canal era o Google Calendar: o malware lia endereços de servidores de comando codificados em Base64 dos títulos dos eventos. E apenas na etapa final, servidores VPS comuns eram usados para entregar a payload. A CrowdStrike observa que desativar um desses canais não teria feito quase nada, pois o botnet simplesmente mudaria para outro método de comunicação. Portanto, os pesquisadores tiveram que neutralizar simultaneamente toda a infraestrutura do Glassworm.
Após a operação, todos os sistemas infectados começaram a se conectar ao endereço IP 164.92.88[.]210, controlado pela CrowdStrike. A empresa recomenda que os administradores verifiquem a atividade da rede em busca desse indicador de comprometimento e isolem imediatamente os sistemas comprometidos. Os pesquisadores também adicionaram regras YARA ao seu relatório para encontrar infecções. De acordo com a CrowdStrike, os operadores do Glassworm conseguiram envenenar mais de 300 repositórios do GitHub, usando credenciais roubadas de desenvolvedores. Além de roubar tokens e dados de carteiras de criptomoedas, o malware implantou o JavaScript-backdoor GlasswormRAT nos sistemas das vítimas, que roubava dados de navegadores, executava código arbitrário e até instalava uma extensão maliciosa do Chrome para keylogging, monitoramento da área de transferência e captura de screenshots.
Analistas da Endor Labs alertam que as máquinas infectadas se tornaram parte da infraestrutura dos atacantes e foram usadas como proxies SOCKS, servidores VNC ocultos (HVNC) e nós para execução remota de código (via WebRTC ou processos Node.js em execução). Isso permitiu que os hackers ocultassem suas atividades e usassem dispositivos comprometidos para ataques adicionais em redes corporativas e cadeias de suprimentos. Os pesquisadores acreditam que criminosos que falam russo provavelmente estão por trás do Glassworm. Isso é indicado por comentários em russo encontrados no código do malware, bem como pela verificação da geolocalização: o malware para de funcionar se for executado em sistemas de países da CEI.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
