A remoção liderada pelo CrowdStrike, conduzida em conjunto com o Google e a Shadowserver Foundation, interrompeu a infraestrutura ligada à campanha que envenenou centenas de repositórios com pacotes maliciosos direcionados aos desenvolvedores.
Um dia após a remoção, em um desenvolvimento independente, o banco de dados OSV retirou 157 relatórios de malware depois que os mantenedores determinaram que os envios eram provavelmente falsos positivos automatizados.
As remoções ajudam, mas os analistas questionam o impacto a longo prazo
A derrubada aconteceu em 26 de maio, às 14h UTC, com CrowdStrike confirmando que a operação derrubou “todos os quatro canais de comando e controle (C2) do GlassWorm simultaneamente”. Isso supostamente ajudou a separar os operadores de botnets de suas máquinas infectadas, impedindo-os de lançar novos malwares.
CrowdStrike descreveu a operação GlassWorm como tendo como alvo a infraestrutura usada para distribuir malware por meio de repositórios focados em desenvolvedores, um vetor de ataque cada vez mais popular à medida que os adversários perseguem acesso CI/CD, credenciais de desenvolvedor e ambientes corporativos downstream.
