- Crowdstrike, Google y ShadowServer desmantelaron conjuntamente la botnet Glassworm el 26 de mayo de 2026, interrumpiendo simultáneamente sus cuatro resistentes canales C2.
- Activo desde principios de 2025, Glassworm se propaga a través de extensiones VSCode troyanizadas, paquetes npm/Python envenenados y repositorios de GitHub comprometidos, roba credenciales de desarrollador e implementa GlasswormRAT en Windows, macOS y Linux.
- La eliminación destaca un cambio en el enfoque de las amenazas de los desarrolladores desde los productos hasta la precisión integrada necesaria para neutralizar blockchain, BitTorrent DHT, Google Calendar y la infraestructura basada en VPS.
Investigadores de ciberseguridad de CrowdStrike, Google y la Fundación ShadowSaver se han unido para acabar con una gran botnet dirigida a desarrolladores de software de todo el mundo.
En un anuncio, la compañía dijo el 26 de mayo de 2026, el grupo de trabajo cerró la botnet Glassworm interrumpiendo simultáneamente cuatro de sus canales C2.
Glassworm es una botnet global, activa desde al menos principios de 2025 y probablemente dirigida por delincuentes persistentes y bien informados con base en Rusia. Se dirige específicamente a los desarrolladores de software a través de la cadena de suministro de código abierto porque tienen acceso a: repositorios de código fuente, plataformas en la nube, canales de CI/CD y registros de paquetes.
matar a los indignos
“Esta eliminación es importante más allá de las botnets. Glassworm marca un cambio significativo en el panorama de amenazas que debería servir como una llamada de atención para todas las organizaciones que envían o utilizan software”, explicó CrowdStrike. “Los adversarios ya no sólo apuntan a los productos, sino también a los desarrolladores que los crean”.
La botnet se propagó a través de extensiones VSCode troyanizadas, código malicioso inyectado en paquetes npm y Python, así como repositorios maliciosos de GitHub (al menos 300 de ellos). El malware roba información, recopila credenciales (tokens de GitHub, tokens npm, claves SSH, autenticación VSCode) e implementa una herramienta de acceso remoto con todas las funciones llamada GlassWormRoot, que afecta a los sistemas Windows, macOS y Linux.
La arquitectura C2 de la botnet utiliza cuatro canales: la cadena de bloques Solana, BitTorrent DHT, encabezados de eventos de Google Calendar y servidores VPS tradicionales, todos los cuales están diseñados para resistir los intentos de eliminación convencionales. Esta combinación le ha valido a Glassworm el título de “botnet degradable” y garantiza “precisión y sincronización” para las eliminaciones.
Crowdstrike explicó: “Simplemente eliminar un canal habría habilitado los demás, permitiendo a los operadores reconfigurarlos rápidamente”. “Un esfuerzo coordinado tuvo que interrumpir los cuatro canales simultáneamente. Como resultado, las máquinas infectadas ya no podían recibir nuevas instrucciones o cargas útiles.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Obtenga nuestras noticias, reseñas y opiniones de expertos en su feed.
