Изследователи по киберсигурност успяха да прекъснат дейността на ботнета Glassworm, използван в атаки срещу разработчици и веригата за доставки на софтуер. Операцията е проведена съвместно от CrowdStrike, Google и The Shadowserver Foundation, които са блокирали четири различни канала за командване и контрол (C2), изградени така, че да издържат на традиционни опити за спиране.
Кампания срещу разработчици и supply-chain екосистемата
Операциите на Glassworm продължават от октомври 2025 г. Първоначално атакуващите са разпространявали злонамерени разширения за OpenVSX и Microsoft Visual Studio Code, насочени към кражба на криптопортфейли и идентификационни данни на разработчици.
По-късно атаките са се разширили към GitHub хранилища и npm пакети. През март една от кампаниите е засегнала над 400 софтуерни артефакта, което показва значителен мащаб и сериозен риск за supply-chain средата.
В по-нова фаза операторите на Glassworm са публикували десетки „спящи“ разширения в OpenVSX. Злонамереният код е оставал неактивен до последваща актуализация, която е активирала вредоносния компонент.
Устойчива C2 архитектура с блокчейн и P2P технологии
Според анализаторите основната причина Glassworm да оцелее толкова дълго е неговата многослойна инфраструктура за командване и контрол.
Изследователите описват архитектурата като комбинация от блокчейн, peer-to-peer мрежи и легитимни уеб услуги, използвани като междинни слоеве за прикриване на реалните C2 сървъри.
Ботнетът е използвал четири паралелни комуникационни канала:
Solana блокчейн
Solana транзакциите са използвани за скриване на адреси на C2 сървъри в memo полетата. Това е създало практически неизтриваем публичен „dead drop“, който не може лесно да бъде премахнат чрез стандартни takedown операции.
BitTorrent DHT
GlasswormRAT е извличал конфигурационни данни чрез Distributed Hash Table (DHT) мрежата на BitTorrent. Данните са били свързвани с предварително зададени публични ключове, използвайки децентрализирана инфраструктура без единична точка на отказ.
Google Calendar
Операторите са използвали Google Calendar като „dead-drop“ механизъм. Заглавията на събитията са съдържали Base64-кодирани пътища към C2 инфраструктурата.
Традиционни VPS сървъри
Като последен етап са използвани класически C2 сървъри, хоствани при комерсиални VPS доставчици, откъдето са се доставяли payload-и и допълнителни инструкции.
Координирана операция срещу четирите канала
Според CrowdStrike прекъсването само на един комуникационен канал не би имало реален ефект, тъй като ботнетът автоматично би преминал към останалите механизми.
Затова е проведена синхронизирана операция срещу всички четири C2 слоя едновременно. След успешната намеса заразените системи вече не могат да получават нови инструкции или допълнителен зловреден код.
След операцията компрометираните устройства започват да осъществяват beaconing към IP адрес 164.92.88.210, контролиран от CrowdStrike. Това позволява на организациите да идентифицират потенциално заразени системи.
Препоръки към организациите
Експертите препоръчват организациите незабавно да проверят мрежовите логове за комуникация с посочения IP адрес и да предприемат действия по изолиране и анализ на засегнатите устройства.
Освен това са публикувани YARA правила за откриване на Glassworm инфекции в подозрителни хостове и среди за разработка.
Случаят подчертава нарастващата тенденция киберпрестъпни групи да използват децентрализирани технологии като блокчейн и P2P мрежи за изграждане на устойчиви C2 екосистеми, които значително усложняват защитата и операциите по неутрализиране.
