Il 26 maggio 2026 un’operazione coordinata tra CrowdStrike, Google e la Shadowserver Foundation ha smantellato Glassworm, una botnet specializzata negli attacchi contro sviluppatori software e infrastrutture open source.
L’azione ha colpito simultaneamente tutti i canali di comando e controllo del malware, interrompendo la capacità degli operatori di distribuire nuovi payload o mantenere il controllo dei sistemi compromessi. Glassworm rappresenta uno dei casi più sofisticati mai documentati nell’ambito della software supply chain security: gli attaccanti non puntavano alle aziende finali, ma agli sviluppatori stessi, sfruttando account GitHub, ambienti CI/CD, registri npm, repository Python e marketplace di estensioni VSCode.
Come funzionava l’infrastruttura e cosa rubava
Secondo l’analisi pubblicata da CrowdStrike, Glassworm era operativo almeno dall’inizio del 2025. Il gruppo distribuiva estensioni trojanizzate per VSCode e piattaforme derivate come Cursor, Windsurf e VSCodium attraverso il marketplace OpenVSX, pubblicando parallelamente pacchetti npm e moduli Python con codice dannoso attivato tramite script postinstall.
L’infrastruttura di comando e controllo era costruita per resistere ai takedown parziali: Glassworm operava contemporaneamente su server VPS convenzionali, rete BitTorrent DHT, memo transaction sulla blockchain Solana ed eventi Google Calendar usati come dead drop per i percorsi verso i server C2. Proprio questa resilienza ha richiesto un abbattimento simultaneo dell’intera infrastruttura da parte dei tre partner.
