Botnet Glassworm desativada após derrubada de infraestrutura C2 resiliente

30 de maio de 2026

Resumo

CrowdStrike, Google e a The Shadowserver Foundation desativaram a botnet Glassworm, que visava desenvolvedores e estava ativa desde outubro de 2025, utilizando extensões maliciosas de OpenVSX e VS Code, repositórios GitHub e pacotes npm para roubar carteiras de criptomoedas e credenciais de desenvolvedores. A ação conjunta cortou simultaneamente quatro canais C2 (comando e controle) deliberadamente resilientes: campos de memo da blockchain Solana, o BitTorrent DHT, títulos de eventos do Google Calendar contendo caminhos codificados em Base64, e conexões diretas de VPS.

Qualquer canal isolado poderia fazer failover para os outros, por isso os operadores criaram camadas de indireção que só poderiam ser derrotadas por uma derrubada coordenada e simultânea. Agora, os hosts infectados não conseguem mais receber novas instruções ou payloads. Defensores devem procurar máquinas comprometidas que estejam "beaconing" para o sinkhole operado pela CrowdStrike em 164.92.88[.]210 e aplicar as regras YARA publicadas para confirmar infecções, remediando as extensões e pacotes maliciosos nos endpoints de desenvolvedores afetados.

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 30 de maio de 2026
Fonte: CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?