La ciberseguridad vuelve a encender las alarmas en el ecosistema open source. CrowdStrike, junto a Google y la Shadowserver Foundation, ha confirmado el desmantelamiento de Glassworm, un sofisticado botnet auto-propagable que llevaba meses comprometiendo desarrolladores, paquetes npm, repositorios GitHub y extensiones de Visual Studio Code.
El malware, activo desde principios de 2025, se había convertido en una de las amenazas más peligrosas para la cadena de suministro de software, utilizando técnicas avanzadas de evasión, robo de credenciales y control descentralizado.
¿Qué era Glassworm y por qué era tan peligroso?
Glassworm no era un malware convencional. Se trataba de un gusano auto-replicante diseñado específicamente para atacar entornos de desarrollo modernos.
Su principal objetivo era comprometer cuentas de desarrolladores para posteriormente:
- Infectar paquetes npm y Python
- Envenenar repositorios GitHub
- Modificar extensiones de VS Code
- Robar credenciales y tokens
- Convertir equipos infectados en nodos proxy criminales
- Distribuir malware adicional
Lo más preocupante es que el ataque afectaba a:
- Windows
- Linux
- macOS
Esto convirtió a Glassworm en una amenaza multiplataforma extremadamente difícil de contener.
¿Cómo funcionaba el malware Glassworm?
Los investigadores descubrieron que Glassworm utilizaba varias tecnologías avanzadas para evitar ser derribado fácilmente.
Inyección invisible mediante Unicode
El malware utilizaba caracteres Unicode invisibles para ocultar código malicioso dentro de paquetes aparentemente legítimos. Esto dificultaba enormemente detectar modificaciones sospechosas en revisiones manuales de código.
Control remoto mediante blockchain y Google Calendar
Glassworm utilizaba hasta cuatro sistemas distintos de comando y control (C2)..
Blockchain Solana
Las direcciones de los servidores C2 se almacenaban en transacciones dentro de la blockchain de Solana, haciendo prácticamente imposible eliminar la infraestructura mediante métodos tradicionales.
Google Calendar como servidor encubierto
El malware utilizaba eventos de Google Calendar para almacenar rutas cifradas en Base64 que apuntaban a servidores de control.
BitTorrent DHT descentralizado
GlasswormRAT, el troyano remoto integrado, usaba la red BitTorrent DHT para intercambiar configuraciones sin depender de servidores centrales.
VPS tradicionales
Además, mantenía servidores VPS convencionales para distribuir cargas útiles y actualizaciones maliciosas.
CrowdStrike y Google coordinan el derribo total
Según CrowdStrike, el ataque contra la infraestructura del malware tuvo que ejecutarse de manera simultánea.
A las 14:00 UTC del martes, los equipos de:
- CrowdStrike
- Google Threat Intelligence Group
- Shadowserver Foundation
neutralizaron los cuatro canales C2 al mismo tiempo.
La operación cortó completamente la comunicación entre los atacantes y los sistemas infectados.
John Hultquist, analista jefe de Google Threat Intelligence Group, declaró: “Estamos trabajando con socios para causar más daño a los atacantes, especialmente cuando abusan de nuestros productos o atacan a nuestros usuarios.”
El malware ya había infectado cientos de repositorios GitHub
Glassworm evolucionó rápidamente desde sus primeros ataques en OpenVSX hasta comprometer:
- Más de 300 repositorios GitHub
- Paquetes npm
- Librerías Python
- Extensiones VS Code
Los atacantes utilizaban credenciales robadas para insertar código malicioso en proyectos legítimos, propagando así la infección entre miles de desarrolladores.
Glassworm marca una nueva era de ataques supply chain
CrowdStrike advirtió que Glassworm representa un cambio crítico en el panorama de amenazas.
La compañía aseguró: “Los atacantes ya no solo apuntan a productos. Ahora apuntan directamente a los desarrolladores que construyen esos productos.”
Este tipo de ataques supply chain son especialmente peligrosos porque comprometen software legítimo utilizado posteriormente por empresas y usuarios finales.
¿Cómo saber si estás infectado?
CrowdStrike confirmó que todos los equipos infectados ahora intentan conectarse a una IP controlada por la compañía: 164.92.88[.]210
Las organizaciones deben revisar:
- Logs de red
- Telemetría EDR
- Conexiones salientes
- Actividad sospechosa en npm o GitHub
Cualquier comunicación con esa IP puede indicar una infección previa por Glassworm.
El auge de los gusanos auto-propagables preocupa a la industria
Glassworm no es el único malware reciente centrado en desarrolladores.
En los últimos meses también aparecieron amenazas como:
- Shai-Hulud
- Mini Shai-Hulud
- Poisoned VS Code Extensions
- Repo poisoning en GitHub
Todas comparten una tendencia clara: “Los ciberdelincuentes están atacando directamente la cadena de desarrollo de software”.
¿Por qué GitHub, npm y VS Code son objetivos tan valiosos?
Los atacantes buscan maximizar alcance e impacto.
Comprometer un paquete npm popular o una extensión utilizada por miles de desarrolladores permite:
- Distribuir malware masivamente
- Robar secretos empresariales
- Acceder a infraestructuras cloud
- Infectar pipelines CI/CD
- Comprometer software corporativo
Esto convierte a los desarrolladores en uno de los objetivos más atractivos para el cibercrimen moderno.
¿Cómo protegerse frente a este tipo de malware en el futuro?
Las recomendaciones clave incluyen..
Activar autenticación multifactor
Especialmente en:
- GitHub
- npm
- PyPI
- Docker Hub
Revisar dependencias
Analizar paquetes nuevos o poco conocidos antes de instalarlos.
Monitorizar pipelines CI/CD
Detectar cambios inesperados en builds y dependencias.
Usar firmas y verificaciones
Implementar:
- Sigstore
- Dependabot
- SBOMs
- verificaciones hash
Mantener EDR actualizado
Herramientas como CrowdStrike Falcon ayudan a detectar comportamiento anómalo en tiempo real.
Glassworm demuestra que los desarrolladores son el nuevo objetivo principal
El caso Glassworm confirma una realidad incómoda para la industria tecnológica:
Los atacantes ya no buscan únicamente vulnerabilidades en servidores o aplicaciones. Ahora van directamente contra quienes construyen el software.
Y con el crecimiento de:
- IA generativa
- desarrollo open source
- automatización DevOps
- CI/CD masivo
La superficie de ataque seguirá creciendo y la guerra por la cadena de suministro del software apenas acaba de empezar.