Grazie alla collaborazione tra Google, CrowdStrike e The Shadowserver Foundation, l’infrastruttura di Glassworm non è più operativa. La botnet, attiva da molti mesi, sfruttava quattro canali C2 (command and control) per una maggiore resilienza, tra cui la blockchain Solana e la rete BitTorrent.
Interrotti i quattro canali C2
I target principali di Glassworm erano gli sviluppatori. Per l’accesso ai computer (Windows, macOS e Linux) veniva effettuato il classico attacco supply chain. I cybercriminali modificavano pacchetti npm e Python, estensioni VS Code o OpenVSX e repository su Github. Se l’ignara vittima eseguiva il codice partiva la catena di infezione che portava al furto di credenziali, criptovalute e altri dati sensibili. Veniva infine installato un RAT (Remote Access Trojan) per l’accesso remoto e il dispositivo diventava parte della botnet.
La peculiarità di Glassworm era l’infrastruttura C2. Oltre ai tradizionali VPS (Virtual Private Server), usati anche da altre botnet, i cybercriminali avevano creato tre canali di comunicazione alternativi. Sfruttando la blockchain Solana, gli indirizzi IP dei server erano codificati nei “memo field” delle transazioni.
I dati di configurazione erano invece conservati nelle DHT (Distributed Hash Table) della rete BiTorrent. Gli indirizzi IP erano infine codificati con Base64 e inseriti nei titoli degli eventi di Google Calendar. In seguito all’azione coordinata di Google, CrowdStrike e The Shadowserver Foundation sono stati interrotti simultaneamente tutti e quattro i canali C2.
La botnet non ha più canali di comunicazione alternativi, quindi i computer infettati sono stati scollegati. CrowdStrike ha lasciato un beacon che indica un indirizzo IP benigno. Le aziende devono analizzare i log di rete per scoprire la presenza del malware. Ovviamente è necessario eseguire subito le necessarie azioni (meglio una formattazione totale).
Ti potrebbe interessare
1 giu 2026