A CrowdStrike, em parceria com o Google e a ShadowServer Foundation, desativou com sucesso a botnet Glassworm, operação internacional que mirava desenvolvedores de software por meio da cadeia de suprimentos de código aberto. A ação derrubou simultaneamente os quatro canais de comando e controle (C2) usados pelos operadores, cortando em tempo real o acesso às máquinas infectadas e a capacidade de distribuir novas cargas maliciosas.
Desde o início de 2025, os operadores do Glassworm, provavelmente baseados na Rússia, vinham explorando ferramentas legítimas de desenvolvimento para enganar os profissionais do setor. Entre os vetores utilizados na campanha estavam extensões adulteradas do VS Code e pacotes comprometidos de npm e Python. A campanha cibernética atingiu de forma abrangente sistemas operacionais Windows, macOS e Linux, mostrando o alto nível de sofisticação dos atacantes.
Mais de 300 repositórios no GitHub foram comprometidos com o uso de credenciais de desenvolvedor roubadas em infecções anteriores, os criminosos inseriam códigos maliciosos por meio de comandos de force push diretamente nos branches padrão dos projetos afetados. O caso evidencia uma tendência preocupante no mercado corporativo, na qual ataques voltados diretamente a desenvolvedores mostram que uma única estação de trabalho comprometida pode afetar milhares de vítimas em cadeia.
“O blog completo traz mais detalhes sobre o escopo da operação e os achados técnicos”, destaca a equipe de inteligência em ameaças da CrowdStrike. A empresa reforça a necessidade de as organizações monitorarem de perto as interações e os acessos em seus ambientes de desenvolvimento para mitigar riscos semelhantes.
