Il botnet Glassworm, un attore temibile degli attacchi informatici, è stato finalmente smantellato dopo più di un anno di funzionamento clandestino. Utilizzando tecniche sofisticate e un’infrastruttura resiliente, questo botnet mirava agli sviluppatori di software, mettendo in pericolo la filiera di approvvigionamento software. Grazie a una coalizione di esperti in cybersecurity, le operazioni di Glassworm sono state neutralizzate, segnando una vittoria significativa contro la criminalità digitale.
Una minaccia silenziosa e persistente
Attivo da almeno all’inizio dell’anno 2025, Glassworm si era specializzato nel mirare ai sviluppatori open source. Scegliendo con attenzione i suoi obiettivi, questo malware era in grado di compromettere i sistemi di uno sviluppatore determinato e di provocare ripercussioni catastrofiche per molte organizzazioni che utilizzano strumenti open source. I suoi attacchi miranti alla filiera di approvvigionamento software facevano temere conseguenze devastanti.
Un arsenale di cyberattacco diversificato
Per raggiungere i suoi obiettivi, Glassworm dispiegava un insieme di strumenti e tecniche varie. Il botnet è riuscito a infiltrarsi nei sistemi grazie a estensioni malevole di VSCode, nascoste tra strumenti legittimi nel marketplace OpenVSX. Inoltre, pacchetti npm e Python oltre a più di 300 repository GitHub sono stati compromessi usando credenziali di sviluppatori rubate. Questo metodo ha permesso ai pirati di farsi strada verso i computer degli sviluppatori con grande discrezione.
Un’infrastruttura complessa e temibile
Dietro Glassworm si celava un’infrastruttura di comando e controllo particolarmente elaborata. I criminali informatici sfruttavano quattro canali di comunicazione, contribuendo alla resilienza delle loro operazioni. Il primo canale, basato su blockchain, consentiva di nascondere gli indirizzi dei server all’interno delle transazioni pubbliche sulla rete Solana. Questo approccio rendeva difficile qualsiasi tentativo di smantellamento, grazie alla natura immutabile delle transazioni blockchain.
tecniche di camuffamento efficaci
Utilizzando la blockchain, gli attaccanti potevano facilmente cambiare i loro indirizzi IP in caso di rilevamento, rendendo così il loro sistema eccezionalmente flessibile e difficile da rintracciare. Parallelamente, Glassworm traeva anche vantaggio dalla rete BitTorrent DHT e da eventi di Google Agenda per nascondere istruzioni e informazioni sensibili destinate al botnet. Questa combinazione astuta ha permesso ai criminali informatici di navigare nel panorama digitale senza essere individuati.
Cooperazione internazionale per il smantellamento
La fine di Glassworm è il risultato di un’operazione congiunta condotta da una coalizione che raggruppa CrowdStrike, Google e la Shadowserver Foundation. Il 26 maggio 2026, gli attori di questa coalizione hanno contemporaneamente interrotto l’accesso ai vari canali di comunicazione utilizzati dal botnet. Questa azione decisiva ha impedito ai pirati di continuare le loro attività malevole e ha sottratto loro ogni controllo sulle macchine infette.
Le origini russe del botnet
Le ricerche hanno rivelato che i pirati coinvolti nelle operazioni di Glassworm sono probabilmente di origine russa. Un meccanismo integrato nel malware permetteva di controllare la lingua del sistema operativo, la localizzazione geografica e il fuso orario ad ogni avvio. Se il computer si trovava in Russia o in un paese della Comunità degli Stati Indipendenti, il malware si disattivava automaticamente per evitare di attrarre l’attenzione delle autorità locali. Questa strategia dimostrava una comprensione astuta delle dinamiche geopolitiche e giuridiche attorno alla cybersecurity.
