A operação coordenada entre a CrowdStrike, o Google e a Shadowserver Foundation resultou na desativação da botnet Glassworm, estrutura criminosa que vinha comprometendo desenvolvedores de software por meio da cadeia de suprimentos de código aberto. A ação derrubou simultaneamente os quatro canais de comando e controle usados pelos operadores, interrompendo a comunicação com máquinas infectadas e bloqueando a distribuição de novos códigos maliciosos.

A ofensiva ocorreu em 26 de maio e representa uma das maiores operações recentes contra ameaças direcionadas ao ecossistema de desenvolvimento de software. O caso reforça uma mudança importante no cenário de cibersegurança: criminosos passaram a mirar diretamente ambientes utilizados por desenvolvedores para alcançar empresas, plataformas e usuários em larga escala.

Segundo a CrowdStrike, a campanha estava ativa desde o início de 2025 e explorava ferramentas legítimas amplamente utilizadas no mercado. Entre os vetores identificados estavam extensões adulteradas do VS Code distribuídas no OpenVSX, além de pacotes comprometidos nos ecossistemas npm e PyPI. O objetivo era instalar códigos maliciosos durante processos rotineiros de atualização e instalação de dependências.

Ataque utilizava infraestrutura descentralizada para evitar derrubadas

A operação afetou sistemas Windows, macOS e Linux. Os pesquisadores identificaram ainda o comprometimento de mais de 300 repositórios no GitHub por meio do roubo de credenciais de desenvolvedores previamente infectados. Os invasores utilizavam force push em branches principais para inserir códigos maliciosos diretamente nos projetos.

O caso chama atenção pelo nível de sofisticação da infraestrutura usada pela Glassworm. A botnet utilizava blockchain da Solana, rede BitTorrent DHT, serviços públicos de calendário e servidores tradicionais de hospedagem para manter seus canais de comando ativos e resilientes contra tentativas convencionais de derrubada.

De acordo com a investigação, os operadores provavelmente possuem ligação com grupos russos especializados em cibercrime. Os indícios incluem verificações automáticas para evitar infecções em países da Comunidade dos Estados Independentes (CIS), além de comentários em russo encontrados no código analisado pelos pesquisadores.

Indústria reforça cooperação contra ameaças

A CrowdStrike avalia que ataques à cadeia de software se tornaram um dos principais riscos da infraestrutura digital moderna. O modelo permite que um único ambiente de desenvolvimento comprometido seja usado para atingir milhares de organizações por meio de bibliotecas, atualizações e ferramentas amplamente distribuídas no mercado.

O episódio também amplia a pressão sobre práticas de segurança em pipelines de desenvolvimento, repositórios de código e gerenciamento de dependências. Especialistas alertam que estratégias baseadas apenas em detecção já não são suficientes para conter ataques que conseguem se espalhar em poucos minutos por múltiplos ecossistemas de software.

Para a indústria de cibersegurança, a operação contra a Glassworm estabelece um precedente importante de cooperação entre empresas privadas, plataformas de tecnologia e organizações de resposta a incidentes. A avaliação é que ações coordenadas de interrupção de infraestrutura criminosa tendem a ganhar relevância diante da escalada de ataques voltados ao ecossistema open source.