Кіберзлочинці використовували децентралізовані мережі, щоб проникнути в робочі станції програмістів і через них створити загрозу для тисяч компаній по всьому світу.
Що відбувається, коли інструменти, створені для забезпечення прозорості та свободи, стають ідеальним прикриттям для кіберзлочинців? Операція з нейтралізації ботнету Glassworm доводить, що це цілком можливо.
26 травня 2026 року команда CrowdStrike спільно з Google та Shadowserver Foundation здійснили скоординований удар, одночасно відключивши чотири канали керування ботнетом, який вважався надзвичайно стійким завдяки своїй архітектурі.
Основні тези
Хакерська група Glassworm скомпрометувала понад 300 репозиторіїв на GitHub.
Для керування вірусом використовували блокчейн Solana, мережу BitTorrent, Google Calendar та VPS.
Цілью стали самі розробники, що дозволило зловмисникам атакувати ланцюги постачання програмного забезпечення.
Ця операція стала відповіддю на небезпечну зміну стратегії хакерів. Замість того, щоб шукати помилки в готових програмах, зловмисники почали атакувати людей, які ці програми пишуть. Використання викрадених облікових даних розробників дозволило скомпрометувати сотні репозиторіїв. Така тактика створює каскадний ефект: шкідливий код може потрапити в оновлення бібліотеки, яку потім завантажують тисячі організацій по всьому світу.
Додатково читайте Prompt Injection: чому маніпуляції з ШІ-пошуком можуть знищити ваш сайт
Як саме працювала ця система? Особливістю Glassworm була багатоканальна архітектура керування (C2), де хакери свідомо уникали єдиних точок відмови. Команди передавалися через транзакції в блокчейні Solana (де адреси C2 записувалися в полях memo), розподілену хеш-таблицю (DHT) BitTorrent, Google Calendar та віртуальні приватні сервери (VPS).
Такий підхід робив ботнет майже імунним до традиційного блокування IP-адрес. Проте скоординована операція 26 травня о 14:00 UTC дозволила одночасно перервати всі чотири канали зв’язку. Це повністю ізолювало заражені машини від їхніх операторів. Після вимкнення інфраструктури скомпрометовані пристрої почали «маякувати» (beaconing) на IP-адресу 164.92.88.210, яка контролювалася CrowdStrike, що дозволило зафіксувати масштаб інфекції.
Цей інцидент є частиною ширшої хвилі атак на ланцюги постачання ПЗ. Зокрема, у звітах згадується, що північнокорейські хакери намагалися захопити контроль над інструментом Axios, яким користуються мільйони людей. Окремою подією у травні 2026 року стала кампанія «Mini Shai-Hulud», спрямована на бібліотеку TanStack (npm), що зрештою призвело до компрометації пристроїв співробітників OpenAI.
“Зловмисники більше не цілять лише в продукти, вони цілять у розробників, які їх створюють”, — зазначає CrowdStrike у своєму звіті.
Чому це важливо
Використання децентралізованих протоколів для керування шкідливим ПЗ створює системний виклик для кібербезпеки. Традиційні методи блокування доменів стають неефективними, коли команди приховані в блокчейн-транзакціях або DHT-мережах. Хоча діяльність Glassworm було зупинено, цей випадок вказує на перехід хакерів до створення інфраструктур, які технічно майже неможливо вимкнути одним натисканням кнопки.
Довіра до open-source коду стає критичною точкою вразливості. Компанії автоматично довіряють коду з GitHub, але тепер безпека цього коду напряму залежить від того, чи не був зламаний ноутбук розробника в іншій частині світу. Зміна вектора атак на людей-творців означає, що будь-яка помилка одного інженера може призвести до глобальної катастрофи в ланцюгу постачання ПЗ.