A botnet Glassworm, que visava desenvolvedores em ataques à cadeia de suprimentos de software, foi desmantelada após uma operação coordenada entre CrowdStrike, Google e a Shadowserver Foundation. Desde outubro de 2025, a Glassworm utilizava extensões maliciosas do OpenVSX e do Microsoft VS Code para roubar carteiras de criptomoedas e credenciais de desenvolvedores. As campanhas se expandiram para repositórios do GitHub e pacotes npm, afetando mais de 400 artefatos de software em uma única onda de ataques. A infraestrutura de comando e controle (C2) da botnet era resistente, utilizando transações da blockchain Solana e a rede DHT do BitTorrent, o que dificultava sua desativação. Os pesquisadores destacaram que a combinação de canais de comunicação não tradicionais permitiu que a botnet sobrevivesse por tanto tempo. Para desmantelar a Glassworm, foi necessário interromper quatro canais C2 simultaneamente, o que impediu que máquinas infectadas recebessem novas instruções. Após a operação, máquinas comprometidas começaram a se conectar a um endereço IP controlado pela CrowdStrike, e organizações foram alertadas a tomar medidas imediatas de remediação.
Fonte: https://www.bleepingcomputer.com/news/security/glassworm-botnet-disrupted-after-resilient-c2-infrastructure-takedown/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
27/05/2026 • Risco: ALTO
MALWARE
Botnet Glassworm, que ataca desenvolvedores, é desmantelada
RESUMO EXECUTIVO
O desmantelamento da botnet Glassworm é um alerta para a segurança da cadeia de suprimentos de software, especialmente para desenvolvedores que utilizam ferramentas populares. A operação coordenada destaca a necessidade de vigilância contínua e medidas proativas para proteger dados sensíveis.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido ao roubo de criptomoedas e credenciais.
Operacional
Roubo de credenciais e carteiras de criptomoedas.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']
📊 INDICADORES CHAVE
Mais de 400 artefatos de software impactados em uma campanha.
Indicador
Campanhas em andamento desde outubro de 2025.
Contexto BR
Quatro canais C2 desativados simultaneamente.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se há conexões com o IP 164.92.88[.]210.
2
Remover extensões suspeitas e atualizar sistemas.
3
Monitorar atividades de rede e logs de acesso para detectar comportamentos anômalos.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança da cadeia de suprimentos de software, especialmente em um cenário onde desenvolvedores são alvos frequentes.
⚖️ COMPLIANCE
Implicações na LGPD devido ao roubo de dados de usuários.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
