Botnet Glassworm terganggu setelah penghapusan infrastruktur C2 yang tangguh

Botnet Glassworm yang menargetkan pengembang dalam serangan rantai pasokan perangkat lunak telah terganggu setelah para peneliti menghapus infrastruktur perintah dan kontrol yang tangguh yang mengandalkan transaksi blockchain Solana dan jaringan DHT BitTorrent.

​Dalam operasi terkoordinasi yang dilakukan kemarin, CrowdStrike, Google, dan The Shadowserver Foundation memutus akses operator botnet ke empat saluran perintah dan kontrol (C2) berbeda yang dirancang untuk menolak upaya gangguan konvensional.

Kampanye cacing kaca telah dilakukan berlangsung sejak Oktober 2025 dan awalnya menargetkan pengembang dengan ekstensi OpenVSX dan Microsoft VS Code berbahaya yang mencuri dompet mata uang kripto dan kredensial pengembang.

Gelombang serangan selanjutnya meluas ke repositori GitHub dan paket npm, dengan satu kampanye di bulan Maret berdampak pada lebih dari 400 artefak perangkat lunak.

Dalam serangan yang lebih baru, operator Glassworm menanam lusinan ekstensi yang tidak aktif di OpenVSX yang akan mengaktifkan komponen berbahaya setelah pembaruan.

Salah satu alasan ancaman Glassworm bertahan selama ini adalah infrastruktur C2, yang bergantung pada saluran komunikasi non-tradisional yang sulit untuk dihilangkan.

“Kombinasi blockchain, peer-to-peer, dan layanan web yang sah sebagai lapisan resolusi dirancang agar tahan terhadap penghapusan – sebuah front dinamis yang melindungi server C2 sebenarnya di balik berbagai lapisan tipuan,” Catatan CrowdStrike.

Para peneliti mengatakan bahwa “Operator Glassworm membangun infrastruktur mereka untuk ketahanan,” dan menghapus botnet memerlukan empat saluran C2 secara bersamaan:

1. Blockchain Solana: Alamat server C2 dikodekan dalam bidang memo transaksi blockchain, menciptakan dead drop yang tidak dapat diubah dan dapat diakses publik yang tidak dapat dilakukan secara offline dengan cara konvensional.
2. BitTorrent Distributed Hash Table (DHT): GlasswormRAT menanyakan jaringan peer-to-peer BitTorrent untuk data konfigurasi yang disimpan pada kunci publik yang dikodekan secara hardcode, memanfaatkan jaringan terdesentralisasi global tanpa satu titik kegagalan pun.
3. Layanan kalender publik: Glassworm menggunakan judul acara Google Kalender sebagai lokasi buntu untuk jalur C2 yang dikodekan Base64.
4. Koneksi server langsung: Infrastruktur C2 tradisional yang dihosting di penyedia VPS komersial berfungsi sebagai mekanisme pengiriman muatan akhir.

​Karena arsitektur ini, mengganggu satu saluran akan berdampak kecil pada operasi Glassworm, karena komunikasi dapat berpindah ke saluran lain, sehingga pelaku ancaman dapat mempertahankan kendali.

“Keempat saluran tersebut harus diganggu secara bersamaan dalam upaya yang terkoordinasi. Akibatnya, mesin yang terinfeksi tidak dapat lagi menerima instruksi atau muatan baru,” kata CrowdStrike.

Setelah gangguan tersebut, semua mesin yang disusupi dalam serangan Glassworm akan mengirimkan sinyal ke alamat IP 164.92.88[.]210 dioperasikan oleh CrowdStrike.

Organisasi disarankan untuk mencari indikator jaringan ini dan segera mengambil tindakan perbaikan. Selain itu, para peneliti telah menerbitkan aturan YARA untuk memastikan adanya infeksi pada inang yang dicurigai.