Jak cyberfirmy zabiły Glassworm jednym strzałem

26 maja 2026 roku o godzinie 14:00 UTC CrowdStrike Counter Adversary Operations, Google i Shadowserver Foundation zamknęły wszystkie cztery kanały C2 botnetu Glassworm jednocześnie.

Timing był całą operacją.

Zamknięcie tylko jednego kanału pozostawiłoby pozostałe operacyjne, pozwalając operatorom na szybką odbudowę. Wszystkie cztery musiały zostać zamknięte w tej samej sekundzie — co wymagało miesięcy przygotowań, precyzyjnej koordynacji między trzema niezależnymi organizacjami i perfekcyjnego wykonania w jednym momencie. SecurityWeek

Glassworm działał od co najmniej października 2025 roku, celując w deweloperów oprogramowania. Deweloper z dostępem do repozytoriów kodu, pipeline'ów CI/CD, rejestrów pakietów i platform chmurowych to cele wyższej wartości niż przeciętny użytkownik. Jeden skompromitowany deweloper oznacza dostęp do wszystkiego co kiedykolwiek zbudował i wszystkiego co zbudował z jego zależnościami. Hoploninfosec

Cztery kanały zaprojektowane żeby przeżyć każdy atak

Infrastruktura C2 Glassworm była świadomie zbudowana pod odporność na likwidację. Każdy kanał był inną technologią, inne instytucje musiały działać żeby go zamknąć.

Blockchain Solana. GlasswormRAT wysyłał zapytania do sieci blockchain pod kątem transakcji zawierających zakodowane adresy C2 — w metadanych transakcji od konkretnych portfeli. Blockchain jest zdecentralizowany i nie ma centralnego punktu wyłączenia. Zamknięcie wymagało współpracy z Solana Foundation i technikami które uniemożliwiały odczyt instrukcji nawet jeśli transakcje nadal istniały.

BitTorrent DHT. GlasswormRAT odpytywał sieć peer-to-peer BitTorrent pod kątem danych konfiguracyjnych przechowywanych przy hardkodowanych kluczach publicznych. Zdecentralizowana sieć P2P — miliony węzłów na całym świecie. Shadowserver z globalną infrastrukturą sensorów był kluczowym partnerem przy tym kanale. SecurityWeek

Google Calendar. Glassworm używał tytułów wydarzeń Google Calendar jako lokalizacji do przechowywania zakodowanych Base64 ścieżek C2. Złośliwe oprogramowanie łączyło się z publicznym API Google Calendar i czytało z pozornie normalnych wydarzeń adresy serwerów sterujących. Google musiało zamknąć konta kalendarza używane jako dead drop. Hoploninfosec

Bezpośrednie serwery VPS. Tradycyjna infrastruktura C2 — komercyjne wirtualne serwery prywatne jako finalna warstwa dostarczania ładunków. CrowdStrike z pomocą hostingodawców.

Kombinacja blockchain, peer-to-peer i legalnych usług webowych jako warstw rozwiązywania była zaprojektowana żeby być odporna na likwidację — dynamiczny front chroniący właściwe serwery C2 za wieloma warstwami pośrednictwa. Hoploninfosec

GlasswormRAT: co robił na zainfekowanych maszynach

Samo złośliwe oprogramowanie — GlasswormRAT — to pełnofunkcjonalne narzędzie zdalnego dostępu napisane w Node.js.

Kradło poświadczenia dla npm, GitHub i Git. Opróżniało środki z rozszerzeń portfeli kryptowalutowych. Wdrażało serwery SOCKS proxy i ukryte serwery VNC dla trwałego zdalnego dostępu. Ukrywało swój kod używając selektorów wariantów Unicode — czyniąc złośliwe znaki niewidocznymi w standardowych edytorach kodu. Recon Bee

Ten ostatni element zasługuje na uwagę. Selektory wariantów Unicode to znaki które zmieniają sposób renderowania innego znaku — głównie używane do wyboru między emoji a tekstowym wariantem symbolu. Gdy są użyte przy zwykłym kodzie — sprawiają że znak wygląda identycznie ale ma inny bajt. Inspekcja kodu wizualnie nie wykryje problemu. Standardowy cat w terminalu nie pokaże różnicy. Potrzeba narzędzi które pokazują raw bytes albo porównują bajt po bajcie.

Wektory dystrybucji: to co znamy z maja

Ponad 300 repozytoriów GitHub zostało zatrutych podczas kampanii Glassworm. Złośliwy kod był wprowadzany przez skompromitowane pakiety npm i Python. Trojanizowane rozszerzenia VS Code były publikowane na marketplace OpenVSX. Synapsint

To jest lista którą cyberflux opisywał przez cały maj — tylko bez wiedzy że za wszystkimi tymi incydentami stoi jedna skoordynowana operacja.

TrapDoor przez npm, PyPI i Crates.io — możliwe ogniwo lub równoległa kampania. Nx Console 18.95.0 — trojanizowane rozszerzenie VS Code na OpenVSX, dokładnie opisany wektor Glassworm. Atrybucja Nx Console do Glassworm nie jest oficjalnie potwierdzona — ale oś czasu i wektory są identyczne.

CrowdStrike atrybuuje Glassworm rosyjskim aktorom zagrożeń. Nie podaje konkretnej nazwy grupy.

Zdanie które zamyka maj 2026

Ten takedown ma znaczenie poza samym botnetem. Glassworm oznaczył znaczącą zmianę w krajobrazie zagrożeń która powinna być sygnałem alarmowym dla każdej organizacji która dostarcza lub konsumuje oprogramowanie. Przeciwnicy nie atakują już tylko produktów, ale także programistów, którzy je tworzą. Cryptika

Maj 2026 zaczął się od CVE-2026-0300 w PAN-OS eksploitowanego przez miesiąc przed ujawnieniem i skończył zamknięciem botnetu który przez pół roku systematycznie kompromitował deweloperów przez każdy kanał którym dystrybuują oprogramowanie.

Między tymi dwoma punktami: TeamPCP przez całą sieć rejestrów pakietów, GitHub breach, TanStack z SLSA Level 3 certyfikującym złośliwy pakiet, Nx Console w 11 minut, Malware-Slop celujący w katalog Claude.

Glassworm był tłem dla całego tego miesiąca — operacją która tworzyła infrastrukturę i warunki dla wielu z tych incydentów. Takedown z 26 maja zamknął jeden rozdział. Jak CrowdStrike zaznacza: potrzebujemy więcej takich operacji.

Źródła

CrowdStrike — pełny blog techniczny z architekturą C2 i szczegółami operacji: https://www.crowdstrike.com/en-us/blog/inside-crowdstrike-takedown-of-a-developer-targeting-botnet/

Cybersecurity Dive — kontekst operacji i rola partnerów: https://www.cybersecuritydive.com/news/takedown-glassworm-botnet-crowdstrike-Google-Shadowserver/821227/

BleepingComputer — szczegóły techniczne Solana blockchain i BitTorrent DHT: https://www.bleepingcomputer.com/news/security/glassworm-botnet-disrupted-after-resilient-c2-infrastructure-takedown/

Security Affairs — szczegóły GlasswormRAT i Unicode steganografia: https://securityaffairs.com/192749/cyber-crime/how-cybersecurity-firms-took-down-glassworm-botnet-in-one-shot.html

TechRadar — szczegóły Google Calendar jako C2 i atrybucja rosyjska: https://www.techradar.com/pro/security/adversaries-are-no-longer-just-targeting-products-theyre-targeting-the-developers-who-build-them-crowdstrike-takes-down-major-botnet-targeting-developers-across-the-world