Нейтрализация ботнета Glassworm: злоумышленники охотились за разработчиками через открытый код

Это событие выходит далеко за рамки обычной нейтрализации ботнета. Glassworm ознаменовал серьёзный сдвиг в ландшафте угроз, который должен стать тревожным сигналом для любой организации, разрабатывающей или использующей программное обеспечение. Злоумышленники больше не ограничиваются атаками на продукты - они нацелились на людей, которые эти продукты создают.

Охота на разработчиков

Как минимум с начала 2025 года операторы Glassworm систематически преследовали разработчиков программного обеспечения. Этот круг лиц представляет собой уникально ценную цель: у них есть доступ к репозиториям исходного кода, облачным платформам, системам непрерывной интеграции и развёртывания, а также к реестрам пакетов. Компрометация рабочей станции одного разработчика может запустить цепную реакцию, которая затронет тысячи организаций и пользователей по цепочке поставок.

Злоумышленники реализовали многоэтапную кампанию. Вредоносные расширения для редактора кода VSCode были опубликованы в маркетплейсе OpenVSX под видом популярных инструментов, например трекеров времени и форматировщиков кода. Эти расширения поражали не только сам VSCode, но и другие редакторы на его основе: Cursor, Positron, Windsurf, VSCodium и ряд других. Скомпрометированные пакеты в реестрах npm (менеджер пакетов для языка JavaScript) и PyPI (репозиторий пакетов для Python) внедряли вредоносный код через сценарии, запускаемые после установки, действуя незаметно во время рутинной загрузки зависимостей. Кроме того, более 300 репозиториев на платформе GitHub были отравлены с использованием украденных учётных данных, добытых на более ранних этапах заражения Glassworm. Вредоносный код принудительно вбрасывался в основные ветки проектов.

Эта операция охватывала все основные операционные системы - Windows, macOS и Linux. Возможности вредоносного инструментария включали кражу информации, сбор учётных данных и полнофункциональное средство удалённого доступа на основе платформы Node.js, получившее название GlasswormRAT.

Архитектура устойчивости и точный удар

Операторы Glassworm строили свою инфраструктуру с расчётом на живучесть. Архитектура управления ботнетом опиралась на четыре совершенно разных канала, спроектированных так, чтобы противостоять традиционным попыткам нейтрализации.

Первый канал - блокчейн Solana. Адреса серверов управления были закодированы в текстовые поля транзакций, что создавало неизменяемое хранилище, доступное всем и неуязвимое для обычных методов отключения. Второй канал - децентрализованная хеш-таблица (DHT) протокола BitTorrent. Вредоносная программа GlasswormRAT обращалась к пиринговой сети BitTorrent за данными конфигурации, используя жёстко заданные открытые ключи. Эта глобальная децентрализованная сеть не имеет единой точки отказа. Третий канал - публичный календарный сервис. Злоумышленники использовали описания событий Google Calendar как хранилище для закодированных путей к серверам управления. Четвёртый канал - традиционные серверы, размещённые у коммерческих провайдеров VPS, которые служили финальным механизмом доставки полезной нагрузки.

Комбинация блокчейна, пиринговых сетей и легитимных веб-сервисов создавала динамическую защиту реальных серверов управления за несколькими уровнями перенаправления. Чтобы зачистка четырёх каналов одновременно произошла без сбоев, отчёт CrowdStrike подчёркивает, что требовалась тщательная координация. Нейтрализация только одного канала оставила бы остальные в рабочем состоянии, позволив операторам быстро восстановить управление. Теперь заражённые машины не могут получать новые инструкции или вредоносные программы.

Уроки и модель для будущих операций

Операторы Glassworm действовали настойчиво и располагали значительными ресурсами. За более чем год они постоянно эволюционировали: осваивали новые языки программирования (от JavaScript к Rust и Zig), расширялись по экосистемам пакетов (VSCode, npm, PyPI, GitHub) и строили избыточную инфраструктуру, рассчитанную на выживание. Без вмешательства их доступ к учётным данным разработчиков создавал постоянный риск масштабных компрометаций цепочек поставок, затрагивающих организации далеко за пределами изначально заражённых специалистов.

Доказательства указывают на возможное российское происхождение злоумышленников. Вредоносная программа проверяет языковые настройки, региональные параметры и часовой пояс заражённой системы, а затем незаметно завершает работу, если обнаруживает, что машина находится в странах СНГ. Это хорошо известная тактика киберпреступников из этого региона, избегающих атак на системы рядом с домом. В исходном коде обнаружены комментарии на русском языке. Ни один из этих признаков по отдельности не является бесспорным доказательством, но в совокупности за год наблюдений они складываются в ясную картину.

Данный случай демонстрирует, что проактивная нейтрализация киберугроз возможна даже против инфраструктуры, намеренно спроектированной для устойчивости. Точные удары способны парализовать преступные операции без многолетних судебных процедур, поражая технические зависимости, которые злоумышленники не могут легко заменить. Межсекторальное сотрудничество - объединение разведданных угроз из частного сектора, полномочий правоохранительных органов и содействия технологических компаний - создаёт условия для решительных действий. Наконец, нейтрализация каналов управления освобождает жертв: заражённые машины выходят из-под контроля противника, что даёт организациям необходимое окно для обнаружения и устранения компрометации.

IPv4

• 164.92.88.210