Google ayuda a desmantelar red de bots utilizada por hackers para atacar a desarrolladores de software

Un operativo internacional concluyó con el desmantelamiento de una red de bots utilizada por ciberdelincuentes para atacar a desarrolladores de software de código abierto. La acción conjunta de Google, CrowdStrike y la organización sin ánimo de lucro Shadowserver permitió interrumpir las actividades de la red conocida como Glassworm, responsable de comprometer la seguridad digital de cientos de proyectos y empresas tecnológicas en los últimos dos años.

La investigación, detallada por CrowdStrike, identificó que la red Glassworm priorizó la infiltración en la cadena de suministro del software de código abierto. Los atacantes no solo se enfocaron en vulnerar productos finales, sino que dirigieron sus esfuerzos a comprometer directamente a los desarrolladores, considerados por los expertos como objetivos de alto valor.

Según el informe de la compañía de ciberseguridad, “los desarrolladores representan objetivos de un valor excepcionalmente alto: comprometer la estación de trabajo de un solo desarrollador puede desencadenar una brecha en la cadena de suministro que afecte a miles de organizaciones y usuarios”.

Esta tendencia responde al creciente uso de plataformas colaborativas como GitHub y mercados de extensiones como OpenVSX, donde la confianza en el código compartido se ha convertido en un nuevo vector de ataque. Más de 300 repositorios de GitHub fueron contaminados con software malicioso durante la operación de Glassworm.

Técnicas de ataque sofisticadas y diversificadas

El grupo responsable de Glassworm empleó una variedad de métodos para propagar su malware. Entre las tácticas identificadas se encuentran la publicación de extensiones maliciosas en mercados utilizados por desarrolladores, el uso de campañas de malvertising —anuncios patrocinados en motores de búsqueda que conducen a descargas de malware— y la explotación de credenciales robadas en ataques previos. Estas credenciales permitieron a los atacantes secuestrar cuentas de desarrolladores y modificar directamente el código fuente de proyectos populares.

Según la empresa de seguridad de endpoints Koi, que identificó por primera vez la amenaza en octubre de 2025, Glassworm utilizó la inyección de código invisible basada en Unicode y una infraestructura de comando y control (C2) distribuida. Los servidores C2 operaban sobre tecnologías como la cadena de bloques Solana, la red peer-to-peer BitTorrent, servicios de calendario como Google Calendar y servidores privados virtuales, proporcionando resiliencia y evasión frente a intentos de bloqueo.

Coordinación internacional para interrumpir la amenaza

El operativo para desactivar la red de bots se ejecutó de manera simultánea en los cuatro canales principales de comando y control de Glassworm. La intervención tuvo lugar a las 14:00 UTC de un martes reciente, logrando interrumpir el acceso de los operadores a las máquinas infectadas y su capacidad para distribuir nuevas cargas útiles maliciosas.

John Hultquist, analista jefe del Grupo de Inteligencia de Amenazas de Google, confirmó la participación de la empresa. En una publicación en redes sociales, afirmó: “Como parte de nuestros esfuerzos para contrarrestar las amenazas, estamos trabajando con socios para infligir más daño a los atacantes, especialmente cuando vemos que abusan de nuestros productos o atacan a nuestros usuarios”.

La operación plantea interrogantes sobre la legalidad y el alcance técnico de la intervención, ya que no se ha aclarado bajo qué autoridad actuaron las empresas involucradas.

Contexto de una amenaza en evolución

La ofensiva contra Glassworm se produjo en un contexto de creciente sofisticación de los ataques a la cadena de suministro de software. Semanas antes, diversos actores comprometieron proyectos de código abierto para distribuir actualizaciones contaminadas en una campaña de hacking bautizada como Mini Shai-Hulud.

En ese caso, un desarrollador vinculado a OpenAI resultó afectado, y en marzo, un presunto hacker de origen norcoreano secuestró la herramienta de desarrollo Axios, ampliamente utilizada en la comunidad de software libre.

El gusano Glassworm se distinguió por su capacidad de autopropagación y por convertir las máquinas de los desarrolladores en nodos proxy para actividades delictivas. Además, generó su propia herramienta de acceso remoto, GlasswormRAT, compatible con sistemas Windows, macOS y Linux, y orientada a robar credenciales y otra información sensible.

<br>