- Автор темы
- #1
Представители CrowdStrike, Google и Shadowserver Foundation провели совместную операцию, направленную на инфраструктуру ботнета Glassworm. Исследователи одновременно вывели из строя все каналы связи ботнета — от блокчейна Solana и BitTorrent DHT до Google Calendar и традиционных VPS. В итоге зараженные машины больше не могут получать команды от операторов малвари.
Напомним, что Glassworm появился еще в прошлом году и быстро стал одной из самых заметных угроз для разработчиков. Хакеры распространяли вредоносные расширения для Visual Studio Code через OpenVSX и маркетплейс Microsoft, заражали npm- и Python-пакеты, а также компрометировали GitHub-репозитории. Основной целью этих атак были учетные данные разработчиков, информация о криптовалютных кошельках и получение доступа к цепочкам поставок.
Особенно активно операторы Glassworm атаковали экосистему форков VS Code — Cursor, Windsurf, Positron и VSCodium. К примеру, в марте 2026 года одна из кампаний затронула более 400 репозиториев и расширений, а позже злоумышленники разместили в OpenVSX десятки «спящих» расширений, где вредоносный код активировался только после обновления.
Главной особенностью Glassworm ИБ-специалисты назвали необычную архитектуру управляющих серверов. Вместо обычного C2 злоумышленники создали многослойную инфраструктуру, устойчивую к блокировкам и отключениям.
В частности, адреса управляющих серверов хранились прямо в memo-полях транзакций Solana. Кроме того, малварь использовала BitTorrent DHT для получения конфигураций через жестко закодированные публичные ключи. Еще одним каналом служил Google Calendar: вредонос считывал закодированные Base64 адреса управляющих серверов из названий событий. И лишь на финальном этапе использовались обычные VPS-серверы для доставки полезной нагрузки.
Как отмечают специалисты компании CrowdStrike, отключение одного из этих каналов не дало бы практически ничего, так как ботнет попросту переключился бы на другой способ связи. Поэтому исследователям пришлось одновременно нейтрализовать всю инфраструктуру Glassworm.
После проведения операции все зараженные системы начали обращаться к IP-адресу 164.92.88[.]210, который контролирует CrowdStrike. Компания рекомендует администраторам проверить сетевую активность на наличие этого индикатора компрометации и немедленно изолировать скомпрометированные системы. Также исследователи добавили к своему отчету YARA-правила для поиска заражений.
По данным CrowdStrike, операторы Glassworm успели отравить более 300 GitHub-репозиториев, используя для этого украденные у разработчиков учетные данные. Помимо кражи токенов и данных криптокошельков, малварь разворачивала в системах жертв JavaScript-бэкдор GlasswormRAT, который похищал данные из браузеров, запускал произвольный код и даже устанавливал вредоносное расширение Chrome для кейлогинга, слежки за буфером обмена и снятия скриншотов.
Аналитики компании Endor Labs предупреждают, что зараженные машины становились частью инфраструктуры атакующих и использовались как SOCKS-прокси, скрытые VNC-серверы (HVNC) и узлы для удаленного выполнения кода (через WebRTC или запущенные процессы Node.js). Это позволяло хакерам скрывать свою активность и использовать скомпрометированные устройства для дальнейших атак на корпоративные сети и цепочки поставок.
Исследователи полагают, что за Glassworm, вероятно, стоят русскоязычные злоумышленники. На это указывают комментарии на русском языке, обнаруженные в коде малвари, а также проверка геолокации: вредонос прекращает работу, если запускается в системах из стран СНГ.
Напомним, что Glassworm появился еще в прошлом году и быстро стал одной из самых заметных угроз для разработчиков. Хакеры распространяли вредоносные расширения для Visual Studio Code через OpenVSX и маркетплейс Microsoft, заражали npm- и Python-пакеты, а также компрометировали GitHub-репозитории. Основной целью этих атак были учетные данные разработчиков, информация о криптовалютных кошельках и получение доступа к цепочкам поставок.
Особенно активно операторы Glassworm атаковали экосистему форков VS Code — Cursor, Windsurf, Positron и VSCodium. К примеру, в марте 2026 года одна из кампаний затронула более 400 репозиториев и расширений, а позже злоумышленники разместили в OpenVSX десятки «спящих» расширений, где вредоносный код активировался только после обновления.
Главной особенностью Glassworm ИБ-специалисты назвали необычную архитектуру управляющих серверов. Вместо обычного C2 злоумышленники создали многослойную инфраструктуру, устойчивую к блокировкам и отключениям.
В частности, адреса управляющих серверов хранились прямо в memo-полях транзакций Solana. Кроме того, малварь использовала BitTorrent DHT для получения конфигураций через жестко закодированные публичные ключи. Еще одним каналом служил Google Calendar: вредонос считывал закодированные Base64 адреса управляющих серверов из названий событий. И лишь на финальном этапе использовались обычные VPS-серверы для доставки полезной нагрузки.
Как отмечают специалисты компании CrowdStrike, отключение одного из этих каналов не дало бы практически ничего, так как ботнет попросту переключился бы на другой способ связи. Поэтому исследователям пришлось одновременно нейтрализовать всю инфраструктуру Glassworm.
После проведения операции все зараженные системы начали обращаться к IP-адресу 164.92.88[.]210, который контролирует CrowdStrike. Компания рекомендует администраторам проверить сетевую активность на наличие этого индикатора компрометации и немедленно изолировать скомпрометированные системы. Также исследователи добавили к своему отчету YARA-правила для поиска заражений.
По данным CrowdStrike, операторы Glassworm успели отравить более 300 GitHub-репозиториев, используя для этого украденные у разработчиков учетные данные. Помимо кражи токенов и данных криптокошельков, малварь разворачивала в системах жертв JavaScript-бэкдор GlasswormRAT, который похищал данные из браузеров, запускал произвольный код и даже устанавливал вредоносное расширение Chrome для кейлогинга, слежки за буфером обмена и снятия скриншотов.
Аналитики компании Endor Labs предупреждают, что зараженные машины становились частью инфраструктуры атакующих и использовались как SOCKS-прокси, скрытые VNC-серверы (HVNC) и узлы для удаленного выполнения кода (через WebRTC или запущенные процессы Node.js). Это позволяло хакерам скрывать свою активность и использовать скомпрометированные устройства для дальнейших атак на корпоративные сети и цепочки поставок.
Исследователи полагают, что за Glassworm, вероятно, стоят русскоязычные злоумышленники. На это указывают комментарии на русском языке, обнаруженные в коде малвари, а также проверка геолокации: вредонос прекращает работу, если запускается в системах из стран СНГ.