Корпорації CrowdStrike та Google спільно з фондом Shadowserver 26 травня 2026 року завершили операцію з припинення діяльності великої шкідливої мережі під назвою Glassworm. Цей ботнет діяв щонайменше з початку 2025 року, концентруючись виключно на програмному забезпеченні та людях, які його створюють. Зловмисники масово зламували інструменти розробки, щоб отримати доступ до систем, які зазвичай захищені надійними паролями та ключами доступу до серверів та приватних репозиторіїв з вихідним кодом програмних продуктів.
Методи поширення вірусу були доволі примітивними, але ефективними через довірливість інженерів, оскільки зловмисники використовували підроблені розширення для редактора VSCode, а також впроваджували шкідливий код у популярні бібліотеки мов програмування npm та Python. Окрім цього, дослідники виявили понад 300 скомпрометованих репозиторіїв на платформі GitHub. Після успішного проникнення вірус збирав облікові дані, зокрема токени доступу, SSH-ключі та дані автентифікації, розгортаючи при цьому інструмент віддаленого управління під назвою GlasswormRAT на операційних системах Windows, macOS та Linux.
Технічна складність ботнету полягала у його стійкості до звичайних методів блокування, оскільки організатори використали одразу чотири незалежні канали керування. Для отримання команд інфіковані комп’ютери зверталися до блокчейну Solana, протоколу BitTorrent DHT, прихованих описів подій у Google Calendar та стандартних віртуальних приватних серверів. Така архітектура робила систему практично невразливою до точкових ударів, адже закриття одного каналу дозволяло операторам миттєво переключитися на інші та відновити контроль над мережею заражених машин.
Для повного знешкодження мережі Glassworm фахівцям довелося провести синхронну атаку на всі чотири канали зв’язку 26 травня 2026 року. Цей випадок демонструє, що зловмисники змінили стратегію, перейшовши від прямої атаки на кінцеві продукти до системного зламу розробників. Тепер заражені пристрої більше не отримують нових команд чи шкідливих оновлень, проте цей інцидент залишається тривожним сигналом для всіх компаній, чия безпека залежить від якості зовнішнього коду, який вони завантажують у свої проекти.
На даний момент важливо розуміти, що попри успішне відключення інфраструктури, скомпрометовані дані розробників, такі як токени доступу до сервісів, можуть залишатися дійсними до їхнього примусового оновлення користувачами. Власникам облікових записів на GitHub, npm та Python-репозиторіях слід провести повний аудит своїх секретних ключів та змінити паролі, оскільки вони могли бути викрадені протягом періоду активності ботнету з початку 2025 року, що є прямим наслідком використання неперевірених розширень та сторонніх пакетів коду.
