A CrowdStrike, em parceria com Google e Shadowserver Foundation, anunciou a interrupção simultânea de todos os canais de comando e controle, ou C2, associados ao GlassWorm, uma campanha persistente de cadeia de software que mira desenvolvedores por meio de pacotes e extensões maliciosos.
“Desde pelo menos o início de 2025, os operadores do GlassWorm têm como alvo, de forma sistemática, desenvolvedores de software, uma população com acesso a repositórios de código-fonte, plataformas na nuvem, pipelines de CI/CD e repositórios de pacotes”, afirmou a CrowdStrike.
A ofensiva ganha relevância em um momento em que desenvolvedores se tornaram alvos cada vez mais lucrativos para ataques à cadeia de suprimentos de software, permitindo que invasores usem uma única estação de trabalho comprometida para afetar, de uma só vez, milhares de organizações e usuários downstream.
Desde o surgimento do GlassWorm, no ano passado, a campanha vem adotando uma estratégia multifacetada.
Entre as táticas usadas estão extensões trojanizadas do VS Code publicadas tanto no Microsoft VS Code Marketplace quanto na Open VSX, o que ampliou o alcance contra usuários de forks do VS Code, como Cursor, Positron, Windsurf e VSCodium.
Também há registros de que a campanha introduziu código malicioso por meio de pacotes comprometidos de npm e Python.
O objetivo final dos ataques é entregar um framework de roubo de dados com recursos para coleta de credenciais, exfiltração de carteiras de criptomoedas e perfilamento de sistemas.
Em versões posteriores, o GlassWorm passou a implantar um RAT em JavaScript baseado em WebSocket, chamado GlassWormRAT, para roubar dados de navegadores e executar código arbitrário.
Isso inclui a instalação de uma extensão do Google Chrome que, por sua vez, coleta dados sensíveis do sistema infectado, como capturas de tela, pressionamentos de teclas e conteúdo da área de transferência.
“Uma vez ativo, o malware procura no host credenciais de desenvolvedor, como tokens do GitHub, NPM e OpenVSX, além de carteiras de criptomoedas, permitindo novos comprometimentos de repositórios e envios de pacotes”, disse o pesquisador da Endor Labs, Kiran Raj.
“Os hosts infectados são convertidos em infraestrutura clandestina: proxies SOCKS, servidores VNC ocultos, ou HVNC, e nós de execução remota, via WebRTC ou processos Node.js iniciados a partir do próprio sistema.
Isso dá aos invasores acesso anônimo à rede corporativa e pessoal e uma plataforma para se espalhar ainda mais.”
No total, a atividade maliciosa teria contaminado mais de 300 repositórios no GitHub com o uso de credenciais de desenvolvedores roubadas.
O que tornou a operação notável foi o uso de quatro canais distintos de C2 para aumentar a resiliência.
Entre eles, estavam o uso da blockchain Solana como resolvedor de dead drop, armazenando endereços de servidores de C2 nos campos de memo de transações blockchain; a consulta à rede ponto a ponto BitTorrent Distributed Hash Table, ou DHT, para recuperar dados de configuração; o uso do Google Calendar como dead drop para buscar o endereço do servidor de C2 a partir dos títulos de eventos; e a conexão direta com a infraestrutura de C2 hospedada em provedores comerciais de VPS.
“A combinação de blockchain, ponto a ponto e serviços legítimos da web como camadas de resolução foi projetada para resistir a ações de derrubada, funcionando como uma frente dinâmica que protege os verdadeiros servidores de C2 por trás de várias camadas de indireção”, disse a CrowdStrike.
Com a operação de desativação, os quatro canais foram neutralizados ao mesmo tempo em uma ação coordenada, de modo que as máquinas infectadas não possam mais receber novos comandos ou payloads.
Ao descrever os operadores do GlassWorm como “bem financiados e persistentes”, a empresa de cibersegurança atribuiu a atividade a criminosos cibernéticos provavelmente baseados na Rússia, já que o malware interrompe sua execução em sistemas localizados em países da Comunidade dos Estados Independentes, ou CIS, e contém comentários em russo.
“A cadeia de suprimentos de software continua sendo uma das superfícies de ataque mais importantes da computação moderna”, concluiu a CrowdStrike.
“Adversários estão transformando a dependência de uma organização em ferramentas, atualizações e bibliotecas em mecanismos de entrega armados e multiplicadores de impacto.
A barreira para envenenar um pacote ou uma extensão é baixa, e o raio de impacto potencial é enorme.
Enquanto ambientes de desenvolvimento, pipelines de compilação e repositórios de código permanecerem pouco protegidos, toda organização que consome software herda o risco de todos que o produzem.
O GlassWorm mostra que os invasores sabem disso e estão investindo em infraestrutura resiliente para manter acesso persistente a ecossistemas de desenvolvedores.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...