En un importante operativo internacional, se logró desarticular una red de bots que había sido utilizada por ciberdelincuentes para llevar a cabo ataques dirigidos a desarrolladores de software de código abierto. Esta operación fue el resultado de la colaboración entre Google, la empresa de ciberseguridad CrowdStrike y la organización sin fines de lucro Shadowserver. La red, conocida como Glassworm, había comprometido la seguridad digital de numerosos proyectos y empresas tecnológicas durante los últimos dos años, poniendo en riesgo la integridad del ecosistema del software colaborativo.
La investigación realizada por CrowdStrike reveló que la red Glassworm se centró en infiltrarse en la cadena de suministro del software de código abierto, una estrategia que ha cobrado relevancia en el contexto actual. Los atacantes no solo se limitaron a vulnerar productos finales, sino que buscaron comprometer directamente a los desarrolladores, quienes se consideran objetivos de alto valor en este tipo de ciberataques. Al infiltrarse en las estaciones de trabajo de los desarrolladores, los hackers pueden desencadenar brechas que afecten a miles de organizaciones y usuarios, lo que resalta la gravedad de esta amenaza.
Los datos muestran que los desarrolladores están en el centro de la mira de los cibercriminales, especialmente en un entorno donde plataformas colaborativas como GitHub se han vuelto comunes. Durante la operación de Glassworm, más de 300 repositorios de GitHub fueron contaminados con malware, lo que pone de manifiesto la vulnerabilidad de estas herramientas de colaboración y la necesidad de un enfoque más riguroso en la ciberseguridad. La creciente confianza en el código compartido ha transformado estas plataformas en nuevos vectores de ataque, donde la seguridad y la confianza son esenciales para el funcionamiento del software libre.
El grupo detrás de Glassworm utilizó una variedad de tácticas sofisticadas para propagar su malware. Entre las estrategias identificadas se incluyen la publicación de extensiones maliciosas en mercados frecuentados por desarrolladores, así como campañas de malvertising que redirigen a los usuarios hacia descargas de software malicioso. Además, la explotación de credenciales robadas ha permitido a los atacantes secuestrar cuentas de desarrolladores y modificar el código fuente de proyectos de gran relevancia, lo que tiene el potencial de afectar a un gran número de usuarios y organizaciones.
De acuerdo con la empresa de seguridad Koi, que detectó por primera vez la amenaza en octubre de 2025, Glassworm utilizó técnicas avanzadas como la inyección de código invisible basado en Unicode y una infraestructura de comando y control (C2) distribuida. Los servidores de comando operaban sobre tecnologías innovadoras como la cadena de bloques Solana y la red peer-to-peer BitTorrent, lo que les otorgaba una alta resiliencia y dificultaba su desactivación por parte de las autoridades.
El operativo que llevó a la interrupción de la red de bots se ejecutó simultáneamente en los cuatro principales canales de comando y control de Glassworm. Este operativo tuvo lugar a las 14:00 UTC de un reciente martes, lo que permitió desactivar el acceso de los operadores a las máquinas infectadas y su capacidad para distribuir nuevas cargas maliciosas. John Hultquist, analista jefe del Grupo de Inteligencia de Amenazas de Google, confirmó la participación activa de la empresa en esta operación, destacando su compromiso en la lucha contra el cibercrimen y la protección de la comunidad de desarrolladores.
