La botnet Glassworm è stata smantellata dal team Counter Adversary Operations di CrowdStrike in collaborazione con Google e Shadowserver Foundation.
Autore: Redazione SecurityOpenLab
Il team Counter Adversary Operations di CrowdStrike ha eseguito un takedown coordinato della botnet Glassworm, un'infrastruttura criminale globale attiva almeno dall'inizio del 2025 e focalizzata sulla compromissione degli sviluppatori software attraverso la supply chain open source. L'operazione, condotta in collaborazione con Google e la Shadowserver Foundation, ha colpito simultaneamente tutti e quattro i canali di comando e controllo della botnet, privando gli operatori del controllo sui sistemi infetti e della capacità di distribuire nuovi payload malevoli.
La scelta degli sviluppatori come bersaglio è opportunistica: bastava una singola workstation compromessa per dare accesso a repository di codice sorgente, piattaforme cloud, pipeline CI/CD e registry di pacchetti, per moltiplicare l'impatto dell'attacco su migliaia di organizzazioni a valle. Glassworm ha sfruttato questa superficie con una campagna su più fronti: estensioni VSCode trojanizzate pubblicate sul marketplace di OpenVSX sottoforma di strumenti legittimi; pacchetti NPM e Python compromessi che eseguivano codice malevolo durante l'installazione delle dipendenze; oltre 300 repository GitHub avvelenati usando credenziali di sviluppatori sottratte in precedenti infezioni. La campagna ha interessato Windows, macOS e Linux, con funzionalità che spaziano dal furto di informazioni e credenziali al controllo remoto completo tramite il trojan di accesso remoto denominato GlasswormRAT.
L'architettura di comando e controllo di Glassworm era basata su quattro canali e costruita per resistere ai tradizionali tentativi di abbattimento. Il primo canale si basava sulla blockchain Solana, dove gli indirizzi dei server C2 venivano codificati nei campi memo delle transazioni, così da rendere le informazioni immutabili e non eliminabili con strumenti convenzionali. Il secondo canale sfruttava la Distributed Hash Table (DHT) di BitTorrent per recuperare dati di configurazione da una rete peer-to-peer decentralizzata priva di singoli punti di failure. Il terzo usava i titoli degli eventi di Google Calendar come dead-drop per percorsi C2 codificati in Base64. Il quarto canale era costituito da server diretti su provider VPS commerciali, utilizzati per la consegna finale dei payload. Solo colpendo tutti e quattro i canali in modo sincrono è stato possibile impedire agli operatori di redirigere il traffico verso infrastrutture di riserva.
CrowdStrike attribuisce con ragionevole certezza l'operazione a cybercriminali con base in Russia, dato che il malware verifica le impostazioni di lingua e di fuso orario del sistema infetto e blocca l’attacco se la potenziale vittima appartenente a un paese CSI. Inoltre sono stati rilevati commenti in russo nel codice sorgente.
Per aiutare le aziende a verificare una eventuale compromissione, CrowdStrike ha diffuso l’informazione che tutte le macchine infette da Glassworm fanno ora beacon all'indirizzo IP 164.92.88[.]210, operato da CrowdStrike. La presenza di connessioni a questo indirizzo nei log di rete o nella telemetria degli endpoint segnala un'infezione attiva che richiede remediation immediata. Sono disponibili anche regole YARA per la conferma delle infezioni sui sistemi identificati.