--- title: "CrowdStrike e Google desativam botnet Glassworm que atacava devs" author: "André Iglesias" date: "2026-05-29 07:30:00-03" category: "Segurança & Privacidade" url: "http://desbugados.scale.press/portal/desbugados/post/2026/05/29/crowdstrike-e-google-desativam-botnet-glassworm-que-atacava-devs/md" --- ## Resumo - CrowdStrike, Google e Shadowserver derrubaram a botnet Glassworm em 26 de maio de 2026. - A operação simultânea desativou quatro canais de comando e controle usados por dois anos. - Mais de 300 repositórios GitHub foram envenenados com malware que roubava credenciais e criptomoedas. - O ataque mirava desenvolvedores via extensões VS Code, pacotes npm e Python. - A ação marca um avanço na resposta coordenada contra ameaças à cadeia de suprimentos open source. - Implicações futuras incluem ferramentas automáticas de verificação integradas aos IDEs. - Desenvolvedores devem adotar verificações regulares e boas práticas de segurança agora. --- Em 26 de maio de 2026, CrowdStrike, em parceria com o Google e a Shadowserver Foundation, executou a derrubada coordenada da botnet Glassworm, que por dois anos mirou desenvolvedores de software open source em ataques à cadeia de suprimentos. A operação simultânea em quatro canais de comando e controle diferentes cortou o acesso dos criminosos e interrompeu atividades que já haviam envenenado mais de 300 repositórios no GitHub. Para quem trabalha com código aberto diariamente, o bug era claro: extensões maliciosas no marketplace OpenVSX, pacotes comprometidos no npm e no Python, além de credenciais roubadas que permitiam a propagação silenciosa do malware. O resultado é uma lição prática sobre como a confiança no ecossistema colaborativo pode ser explorada e, ao mesmo tempo, uma janela para imaginar defesas mais inteligentes no futuro. ## Como a operação desativou os quatro canais de controle A ação começou às 14h UTC de 26 de maio e atingiu simultaneamente os canais baseados em blockchain Solana, BitTorrent, Google Calendar e servidores virtuais privados. Cada canal funcionava como uma rota alternativa para os operadores da botnet enviarem ordens e receberem dados roubados, tornando a infraestrutura resistente a derrubadas parciais. Ao cortar todas as rotas ao mesmo tempo, as equipes de segurança eliminaram a capacidade de resposta dos atacantes em uma única jogada coordenada. Pense em uma rede neural de ficção científica como a de “Mr. Robot”: quando todos os nós são desativados juntos, o sistema inteiro desmorona. O impacto imediato foi a interrupção de campanhas que, desde o início de 2025 ou outubro de 2025, já haviam comprometido pacotes e repositórios usados por milhares de desenvolvedores em todo o mundo. ## O que os ataques revelam sobre a cadeia de suprimentos Os operadores da Glassworm usavam extensões trojanizadas no OpenVSX, pacotes npm e Python adulterados e mais de 300 repositórios GitHub envenenados com credenciais roubadas para distribuir malware capaz de roubar informações, credenciais e carteiras de criptomoedas, além de instalar o GlasswormRAT em sistemas Windows, macOS e Linux. O que torna o caso especialmente relevante é que ele explora exatamente a confiança que os desenvolvedores depositam em repositórios públicos e marketplaces de extensões. Em vez de atacar diretamente empresas, os criminosos inseriam o veneno no código que todos baixam e reutilizam, transformando a cadeia de suprimentos em um vetor silencioso. Essa tática, já vista em ondas anteriores da própria Glassworm, mostra que o problema não é novo, mas a escala e a persistência exigiram uma resposta global coordenada entre empresas privadas e organizações como a Shadowserver Foundation. ## Implicações futuras: do presente para cenários especulativos Com a botnet desativada, surge a pergunta inevitável sobre o que vem a seguir. Imagine um futuro próximo em que ferramentas de verificação automática, integradas diretamente em IDEs como o VS Code, analisem em tempo real a integridade de cada extensão e pacote antes mesmo da instalação, semelhante aos scanners de código em jogos como Watch Dogs que detectam ameaças ocultas. A derrubada coordenada de múltiplos canais de comando e controle pode inspirar protocolos padronizados entre empresas de segurança, grandes plataformas como o Google e comunidades open source, criando uma espécie de “aliança global de resposta rápida” que antecipa ataques em vez de apenas reagir. Para desenvolvedores, isso significa que a segurança deixará de ser uma tarefa isolada e passará a fazer parte do fluxo diário de trabalho, com alertas claros e automações que reduzem o risco de “fantasmas” invisíveis no código. O episódio reforça que a inovação colaborativa do open source precisa caminhar lado a lado com mecanismos de defesa igualmente colaborativos. ## Caixa de ferramentas: o que você pode fazer agora Revise regularmente as extensões instaladas no seu VS Code e remova qualquer uma que não reconheça ou que tenha sido atualizada recentemente sem aviso. Ative verificações de integridade em pipelines de CI/CD para pacotes npm e Python antes de incorporá-los aos projetos. Mantenha senhas e tokens de acesso em gerenciadores dedicados, evitando o uso de credenciais salvas em repositórios públicos. Acompanhe comunicados de empresas como CrowdStrike e Google sobre ameaças à cadeia de suprimentos, pois eles costumam trazer orientações práticas atualizadas. Por fim, participe de discussões em comunidades open source sobre melhores práticas de segurança: a força coletiva que construiu o ecossistema é a mesma que pode protegê-lo.