As campanhas da **Glassworm** estão em andamento desde outubro de 2025, inicialmente visando desenvolvedores com extensões maliciosas para **OpenVSX** e **Microsoft VS Code**. Essas extensões foram projetadas para roubar carteiras de criptomoedas e credenciais de desenvolvedores. Os ataques posteriormente se expandiram para repositórios do **GitHub** e pacotes **npm**, impactando mais de 400 artefatos de software em uma campanha durante março. Em um ataque recente, operadores da **Glassworm** plantaram dezenas de extensões dormentes no **OpenVSX** que ativariam seus componentes maliciosos após uma atualização. ## Infraestrutura Resiliente de C2 Uma das razões pelas quais a **Glassworm** tem sido tão persistente é sua infraestrutura de C2. A botnet utilizava canais de comunicação não tradicionais, tornando-a excepcionalmente difícil de desativar. "A combinação de blockchain, peer-to-peer e serviços web legítimos como camadas de resolução foi projetada para ser resiliente contra desativações — uma frente dinâmica protegendo os servidores C2 reais por trás de múltiplas camadas de indireção", observou a **CrowdStrike**. Pesquisadores enfatizaram que os operadores da botnet construíram especificamente sua infraestrutura para resiliência. A desativação exigiu um ataque simultâneo a todos os quatro canais de C2: 1. Blockchain **Solana**: Endereços de servidores C2 eram codificados nos campos de memo de transações da blockchain, criando um "dead drop" imutável e publicamente acessível. 2. Tabela de Hash Distribuída (DHT) do **BitTorrent**: O **GlasswormRAT** consultava a rede peer-to-peer do **BitTorrent** em busca de dados de configuração armazenados contra chaves públicas codificadas. 3. Serviço de calendário público: A **Glassworm** usava títulos de eventos do **Google Calendar** como locais de "dead drop" para caminhos C2 codificados em Base64. 4. Conexões diretas de servidor: Infraestrutura C2 tradicional hospedada em provedores de VPS comerciais servia como o mecanismo final de entrega de payload.  *Arquitetura de comando e controle da Glassworm fonte: CrowdStrike* Devido a essa arquitetura, a interrupção de um único canal teria tido um impacto mínimo, pois as comunicações poderiam simplesmente mudar para outro canal, permitindo que o ator de ameaça mantivesse o controle. ## Desativação Coordenada "Todos os quatro canais tiveram que ser interrompidos simultaneamente em um esforço coordenado. Como resultado, máquinas infectadas não podem mais receber novas instruções ou payloads", afirmou a **CrowdStrike**. Após a desativação, todas as máquinas comprometidas no ataque da **Glassworm** agora estão fazendo beacon para o endereço IP 164.92.88[.]210, que é operado pela **CrowdStrike**. Organizações são aconselhadas a procurar por este indicador de rede e tomar ações imediatas de remediação. Pesquisadores também publicaram regras YARA para ajudar a confirmar infecções em hosts suspeitos. ## A Lacuna de Validação: Pentest Automatizado Responde a Uma Pergunta. Você Precisa de Seis. Ferramentas de pentest automatizado entregam valor real, mas foram construídas para responder a uma pergunta: um atacante pode se mover pela rede? Elas não foram construídas para testar se seus controles bloqueiam ameaças, se suas regras de detecção disparam ou se suas configurações de nuvem se sustentam. Este guia cobre as 6 superfícies que você realmente precisa validar. [Baixe Agora](https://hubs.li/Q048zztN0)