A botnet Glassworm chamou a atenção da comunidade de cibersegurança por unir técnicas avançadas de malware com tecnologias normalmente associadas à inovação digital. Em vez de depender apenas de servidores tradicionais para controlar computadores infectados, os operadores da ameaça passaram a utilizar recursos como a blockchain Solana, a rede BitTorrent DHT e até serviços legítimos para dificultar a identificação da infraestrutura criminosa.
O caso ganhou ainda mais relevância porque os principais alvos eram justamente desenvolvedores de software, profissionais de TI e usuários de ferramentas populares como VS Code, VSCodium, npm e plataformas ligadas ao ecossistema open source. A campanha explorava a confiança em repositórios públicos e extensões aparentemente legítimas para espalhar cargas maliciosas silenciosas.
Agora, uma operação coordenada envolvendo CrowdStrike, Google e Shadowserver Foundation conseguiu interromper grande parte da infraestrutura do grupo. O desmantelamento da ameaça representa uma vitória importante contra ataques modernos de cadeia de suprimentos, mas também deixa um alerta claro: até ferramentas usadas diariamente por desenvolvedores podem se transformar em vetores de infecção.
O que era a botnet Glassworm e como ela agia
A botnet Glassworm começou a ser monitorada por pesquisadores de segurança ainda em 2025. Inicialmente, a ameaça estava ligada ao roubo de credenciais corporativas, informações de autenticação e carteiras de criptomoedas. Com o tempo, a operação evoluiu para algo muito mais sofisticado.
O diferencial do Glassworm era sua capacidade de operar de forma altamente distribuída. Em vez de depender de poucos servidores centrais, o malware espalhava componentes da comunicação entre diferentes plataformas e serviços descentralizados. Isso dificultava bloqueios tradicionais e permitia que a botnet sobrevivesse mesmo após ações de derrubada parcial.
Outro ponto importante foi a escolha dos alvos. Os criminosos perceberam que desenvolvedores possuem acesso privilegiado a ambientes corporativos, chaves SSH, tokens de APIs e sistemas internos. Comprometer um único computador de desenvolvimento poderia abrir portas para ataques maiores dentro de empresas e projetos open source.
Além disso, o malware era desenvolvido para atuar de maneira discreta. Muitas vítimas sequer percebiam a presença da ameaça enquanto dados eram coletados silenciosamente em segundo plano.
O ataque silencioso pelas extensões do VS Code
Um dos métodos mais perigosos utilizados pela infraestrutura do Glassworm envolvia o ecossistema de extensões do VS Code e do OpenVSX.
Os criminosos distribuíam extensões aparentemente úteis para programadores. Algumas prometiam melhorias de produtividade, suporte a linguagens populares ou recursos extras para ambientes Linux. Em muitos casos, o código malicioso permanecia “dormente” durante a instalação inicial, justamente para evitar detecção imediata.
A ativação acontecia apenas após determinadas atualizações ou condições específicas. Isso tornava o ataque extremamente difícil de identificar, já que a extensão podia parecer legítima durante análises preliminares.
Outro detalhe preocupante foi o uso de pacotes contaminados no npm, o gerenciador de pacotes do ecossistema Node.js. Dependências aparentemente inofensivas incluíam scripts capazes de baixar componentes adicionais do malware Glassworm.
Esse tipo de ataque é conhecido como ataque à cadeia de suprimentos de software. Em vez de atacar diretamente o usuário final, os criminosos comprometem ferramentas confiáveis usadas durante o desenvolvimento de aplicações.
Para usuários de Linux e ambientes open source, o risco foi ainda maior devido ao uso intenso de repositórios comunitários, automações e integrações contínuas.
A engenhosa e resiliente infraestrutura de comando Glassworm
O elemento mais impressionante da botnet Glassworm foi sua arquitetura de comunicação.
Tradicionalmente, botnets utilizam servidores de Comando e Controle (C2) para enviar instruções aos dispositivos infectados. O problema para criminosos é que esses servidores podem ser identificados e derrubados rapidamente.
Os operadores do Glassworm resolveram esse problema utilizando uma combinação de tecnologias descentralizadas e serviços legítimos para esconder comandos maliciosos.
Isso obrigou as equipes de segurança a planejarem uma operação simultânea e altamente coordenada. Derrubar apenas uma parte da infraestrutura não seria suficiente para interromper a ameaça.
Blockchain Solana e a imutabilidade do crime
Um dos componentes mais curiosos do Glassworm foi o uso da blockchain Solana.
Blockchain é um sistema distribuído que registra informações de forma praticamente imutável. A tecnologia é amplamente usada em criptomoedas, contratos inteligentes e aplicações descentralizadas.
Os operadores da ameaça aproveitaram justamente essa característica para armazenar informações relacionadas ao controle da botnet. Em alguns casos, endereços, chaves ou referências de infraestrutura eram publicados diretamente na blockchain.
Como registros em blockchain não podem ser facilmente removidos, isso criou um grande desafio para investigadores.
Na prática, os computadores infectados conseguiam consultar informações públicas na rede Solana para descobrir novos pontos de comunicação da botnet. Assim, mesmo que servidores fossem bloqueados, a infraestrutura poderia se reorganizar rapidamente.
Essa abordagem mostra como tecnologias criadas para descentralização e transparência também podem ser abusadas por criminosos digitais.
BitTorrent DHT e o Google Agenda como disfarces
Outro recurso utilizado pela ameaça Glassworm foi a rede BitTorrent DHT.
A sigla DHT significa Distributed Hash Table, um sistema descentralizado usado para localizar arquivos e participantes em redes peer-to-peer. Diferentemente de servidores centrais, a DHT distribui informações entre vários nós espalhados pela internet.
Os criminosos aproveitaram essa arquitetura para esconder instruções da botnet dentro do tráfego aparentemente normal do BitTorrent.
Isso dificultava o bloqueio por soluções tradicionais de segurança, já que o tráfego podia parecer legítimo em muitos ambientes corporativos.
Além disso, pesquisadores identificaram o uso de serviços comuns como o Google Agenda para armazenar pequenos fragmentos de comandos e indicadores de atualização. Esse tipo de técnica ajuda a mascarar atividades maliciosas em meio a serviços confiáveis usados diariamente por milhões de pessoas.
O resultado foi uma infraestrutura extremamente resiliente, difícil de rastrear e preparada para sobreviver a tentativas de derrubada parcial.
Como a operação conjunta CrowdStrike, Google e Shadowserver venceu a ameaça
A derrubada da botnet Glassworm exigiu cooperação internacional e coordenação técnica avançada.
Pesquisadores da CrowdStrike trabalharam no mapeamento da infraestrutura e dos indicadores de comprometimento. Já equipes do Google ajudaram na identificação de abusos envolvendo serviços legítimos e ecossistemas utilizados pelos criminosos.
A Shadowserver Foundation, conhecida por atuar em operações globais de mitigação de ameaças, participou do redirecionamento de tráfego e neutralização de pontos críticos da botnet.
O ponto-chave da operação foi a execução simultânea das ações. Como o Glassworm utilizava múltiplas camadas descentralizadas, qualquer atraso poderia permitir que os operadores migrassem rapidamente para novos canais de comunicação.
As equipes também compartilharam indicadores de comprometimento com provedores de segurança, empresas e administradores de sistemas ao redor do mundo.
Essa colaboração acelerou a limpeza de sistemas infectados e reduziu significativamente a capacidade operacional da ameaça.
Mesmo assim, especialistas alertam que variantes derivadas podem surgir novamente utilizando estratégias semelhantes.
Como se proteger e verificar se seu ambiente Linux foi afetado
O caso da botnet Glassworm reforça a importância de adotar práticas rigorosas de segurança no ambiente de desenvolvimento.
A primeira recomendação é revisar cuidadosamente extensões instaladas no VS Code, VSCodium e editores compatíveis. Extensões pouco conhecidas, abandonadas ou com histórico suspeito devem ser removidas imediatamente.
Também é fundamental auditar dependências instaladas via npm. Muitos ataques modernos exploram pacotes aparentemente legítimos para distribuir código malicioso.
Outras medidas importantes incluem:
- Habilitar autenticação multifator em serviços de desenvolvimento;
- Monitorar conexões de saída incomuns em ambientes Linux;
- Utilizar soluções EDR e antivírus modernos;
- Verificar indicadores de comprometimento divulgados pela CrowdStrike;
- Aplicar regras YARA para detectar amostras conhecidas do malware;
- Evitar instalar extensões fora de fontes confiáveis.
Profissionais de segurança também recomendam segmentar ambientes de desenvolvimento e limitar permissões excessivas em máquinas utilizadas para programação.
O episódio deixa uma lição importante para toda a comunidade tecnológica: ataques modernos estão cada vez mais focados em ecossistemas de desenvolvimento e cadeias de suprimentos digitais. Ferramentas amplamente confiáveis podem se transformar em vetores de comprometimento quando não há auditoria adequada.
Com a crescente dependência de plataformas open source e integrações automatizadas, manter boas práticas de segurança deixou de ser apenas uma recomendação técnica e passou a ser uma necessidade crítica para empresas e desenvolvedores independentes.
