Por Canuto CrowdStrike, con apoyo de Google y Shadowserver, anunció el desmantelamiento de una botnet usada para atacar desarrolladores de software de código abierto. La operación apunta a Glassworm, un grupo que durante dos años habría buscado comprometer la cadena de suministro mediante malware, robo de credenciales y la contaminación de más de 300 repositorios en GitHub.
***
- CrowdStrike dijo que Glassworm atacó a desarrolladores de código abierto para distribuir malware a organizaciones que dependen de ese software.
- La infraestructura de mando y control, según la firma, utilizaba la blockchain de Solana, BitTorrent, Google Calendar y servidores privados virtuales.
- La operación, realizada junto con Google y Shadowserver, interrumpió cuatro canales de mando y control y cortó el acceso a equipos infectados.
CrowdStrike, en colaboración con Google y la organización sin fines de lucro Shadowserver, anunció el desmantelamiento de una botnet que, según la compañía, era utilizada por ciberdelincuentes para distribuir malware y robar contraseñas de desarrolladores de software de código abierto.
La operación tuvo como objetivo interrumpir a los responsables de la llamada botnet Glassworm, un grupo que, de acuerdo con CrowdStrike, ha apuntado durante dos años a la cadena de suministro del software abierto. El caso vuelve a poner foco sobre un tipo de amenaza que ya preocupa a empresas, mantenedores y comunidades técnicas en todo el mundo.
En términos simples, un ataque a la cadena de suministro de software busca comprometer una pieza de código, una librería o una cuenta de desarrollador confiable para que el daño se propague a terceros. Ese modelo resulta especialmente peligroso porque explota la confianza depositada en plataformas como GitHub y en quienes publican herramientas usadas por miles o millones de personas.
Según explicó CrowdStrike en su informe sobre la operación, los atacantes ya no se enfocan solo en productos terminados. También persiguen a quienes los construyen. La empresa resumió esa idea con una frase contundente: “Los adversarios ya no solo están atacando productos, están atacando a los desarrolladores que los construyen”.
La firma añadió que los desarrolladores representan objetivos de altísimo valor. En palabras de CrowdStrike, comprometer la estación de trabajo de un solo desarrollador puede desencadenar un compromiso de la cadena de suministro con impacto sobre miles de organizaciones y usuarios posteriores.
Cómo operaba Glassworm
De acuerdo con la información divulgada, los hackers detrás de Glassworm utilizaron varias tácticas para distribuir código malicioso. Una de ellas consistió en publicar extensiones maliciosas en un marketplace usado por desarrolladores, una técnica que aprovecha hábitos de instalación rápidos y entornos de trabajo con alta dependencia de herramientas de terceros.
Otra vía señalada fue el malvertising. En este esquema, los atacantes pagan por resultados patrocinados en motores de búsqueda para engañar a las víctimas y llevarlas a descargar malware creyendo que acceden a software legítimo. Es una técnica conocida, pero sigue siendo efectiva porque imita rutas normales de descubrimiento y descarga.
CrowdStrike también indicó que Glassworm empleó credenciales robadas en hacks anteriores. Eso les habría permitido secuestrar cuentas de desarrolladores e insertar malware en su código, una maniobra que aumenta la credibilidad del ataque porque el software parece provenir de autores o proyectos ya conocidos por la comunidad.
El resultado, según la empresa, fue el envenenamiento de más de 300 repositorios de código en GitHub. Ese dato ilustra la escala del problema y sugiere un alcance mucho mayor que el de una campaña oportunista. Cuando un repositorio confiable queda comprometido, el riesgo se extiende a dependencias, automatizaciones de compilación y flujos de actualización en cadena.
En este contexto, la amenaza no afecta solo a programadores individuales. También golpea a empresas y organizaciones que integran componentes de código abierto en sus productos, infraestructuras y servicios. Esa es una de las razones por las que los ataques supply chain han ganado tanta relevancia en ciberseguridad.
La operación de desmantelamiento y la infraestructura usada
CrowdStrike afirmó que logró desmantelar cuatro canales de mando y control empleados por los operadores de Glassworm. Al hacerlo, la operación habría cortado el acceso de los atacantes a las computadoras infectadas e impedido la entrega de más cargas maliciosas a través de esa infraestructura.
Uno de los puntos más llamativos del caso es la diversidad de tecnologías que, según la compañía, formaban parte del esquema de mando y control. Los servidores utilizados por Glassworm dependían de la blockchain de Solana, de la red peer-to-peer BitTorrent, de Google Calendar y de servidores privados virtuales.
La mención de Solana resulta particularmente relevante para lectores del ecosistema cripto. El reporte no presenta a la red como responsable del ataque, sino como una capa tecnológica aprovechada por los operadores para sostener parte de su infraestructura. Casos así muestran cómo herramientas abiertas y neutrales pueden ser utilizadas tanto para fines legítimos como para actividades maliciosas.
El uso combinado de blockchain, servicios ampliamente adoptados y redes descentralizadas puede complicar la detección y la interrupción de estas operaciones. También refleja una tendencia más amplia en la que grupos criminales intentan diversificar sus canales para reducir puntos únicos de falla y hacer más difícil el rastreo.
No está claro bajo qué autoridad legal o técnica actuaron CrowdStrike y sus colaboradores para desmantelar la operación. TechCrunch señaló este punto en su cobertura y añadió que un portavoz de CrowdStrike no comentó de inmediato al respecto.
Un patrón creciente de ataques contra código abierto
El caso Glassworm no aparece en el vacío. En los últimos meses, varios grupos han atacado a desarrolladores y proyectos de código abierto con el objetivo de distribuir software malicioso a empresas y organizaciones que dependen de esas herramientas. La lógica detrás de estos ataques es simple: comprometer un eslabón pequeño para alcanzar a una base mucho mayor de víctimas.
La semana pasada, según la misma cobertura, hackers comprometieron varios proyectos de código abierto y distribuyeron actualizaciones maliciosas en una campaña distinta bautizada “Mini Shai-Hulud”. En ese episodio, un desarrollador de OpenAI fue comprometido por ese grupo.
El antecedente se suma a otro incidente reportado en marzo. En esa ocasión, un presunto hacker norcoreano secuestró la popular herramienta de desarrollo de software de código abierto Axios, utilizada por millones de desarrolladores. Ese episodio reforzó la percepción de que el software abierto, pese a su enorme valor para la innovación, enfrenta una superficie de ataque cada vez más amplia.
Para el ecosistema tecnológico y empresarial, el mensaje es claro. La seguridad ya no puede limitarse al perímetro corporativo tradicional. También debe abarcar identidades de desarrolladores, repositorios, dependencias, marketplaces de extensiones y canales de distribución.
La advertencia de CrowdStrike va en esa dirección. Si una sola estación de trabajo comprometida puede abrir la puerta a miles de organizaciones, entonces la protección del desarrollador se convierte en un asunto sistémico y no solo individual. Ese cambio de enfoque será clave para responder a futuras campañas similares.
Por ahora, el desmantelamiento de Glassworm representa un alivio parcial, pero no resuelve el problema de fondo. La combinación de ingeniería social, robo de credenciales, abuso de plataformas confiables y uso creativo de infraestructura distribuida indica que este tipo de amenaza seguirá evolucionando.
En paralelo, la conexión del caso con Solana, BitTorrent y Google Calendar añade otra capa de debate sobre el uso dual de tecnologías abiertas. La lección no es que estas herramientas sean intrínsecamente peligrosas, sino que la seguridad de sus entornos de uso importa tanto como su diseño técnico.
La operación conjunta entre CrowdStrike, Google y Shadowserver muestra que la cooperación entre actores privados y organizaciones especializadas puede frenar campañas complejas. Sin embargo, también deja preguntas abiertas sobre atribución, marcos legales y mecanismos de respuesta cuando la infraestructura delictiva se apoya en servicios distribuidos y globales.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
IA
OpenAI Foundation destina USD $250 millones para enfrentar el impacto laboral de la IA
Empresas
SpaceX es investigado en EE. UU. por la falla del propulsor Starship V3
Empresas
UE abre espectro satelital a Starlink y Amazon, pero limita su acceso frente a operadores europeos
Asia