Корпорации CrowdStrike и Google совместно с фондом Shadowserver 26 мая 2026 года завершили операцию по прекращению деятельности крупной вредоносной сети под названием Glassworm. Этот ботнет действовал как минимум с начала 2025 года, концентрируясь исключительно на программном обеспечении и людях, которые его создают. Злоумышленники массово взламывали инструменты разработки, чтобы получить доступ к системам, которые обычно защищены надежными паролями и ключами доступа к серверам и частным репозиториям с исходным кодом программных продуктов.
Методы распространения вируса были довольно примитивными, но эффективными из-за доверчивости инженеров, поскольку злоумышленники использовали поддельные расширения для редактора VSCode, а также внедряли вредоносный код в популярные библиотеки языков программирования npm и Python. Кроме этого, исследователи обнаружили более 300 скомпрометированных репозиториев на платформе GitHub. После успешного проникновения вирус собирал учетные данные, включая токены доступа, SSH-ключи и данные аутентификации, развертывая при этом инструмент удаленного управления под названием GlasswormRAT на операционных системах Windows, macOS и Linux.
Техническая сложность ботнета заключалась в его устойчивости к обычным методам блокировки, поскольку организаторы использовали сразу четыре независимых канала управления. Для получения команд инфицированные компьютеры обращались к блокчейну Solana, протоколу BitTorrent DHT, скрытым описаниям событий в Google Calendar и стандартным виртуальным частным серверам. Такая архитектура делала систему практически неуязвимой для точечных ударов, ведь закрытие одного канала позволяло операторам мгновенно переключиться на другие и восстановить контроль над сетью зараженных машин.
Для полного обезвреживания сети Glassworm специалистам пришлось провести синхронную атаку на все четыре канала связи 26 мая 2026 года. Этот случай демонстрирует, что злоумышленники изменили стратегию, перейдя от прямой атаки на конечные продукты к системному взлому разработчиков. Теперь зараженные устройства больше не получают новых команд или вредоносных обновлений, однако этот инцидент остается тревожным сигналом для всех компаний, чья безопасность зависит от качества внешнего кода, который они загружают в свои проекты.
На данный момент важно понимать, что, несмотря на успешное отключение инфраструктуры, скомпрометированные данные разработчиков, такие как токены доступа к сервисам, могут оставаться действительными до их принудительного обновления пользователями. Владельцам учетных записей на GitHub, npm и Python-репозиториях следует провести полный аудит своих секретных ключей и изменить пароли, поскольку они могли быть похищены в течение периода активности ботнета с начала 2025 года, что является прямым следствием использования непроверенных расширений и сторонних пакетов кода.
