CrowdStrike og Google lukker Glassworm-botnet efter to års angreb

Eskil Sørensen

05.28.2026 13:30

En fælles indsats mellem CrowdStrike, Google og Shadowserver har afbrudt et botnet, der systematisk har kompromitteret udviklere og plantet malware i hundredvis af GitHub‑projekter.

CrowdStrike har sammen med Google og nonprofit‑organisationen Shadowserver gennemført en koordineret nedlukning af botnettet Glassworm. Ifølge CrowdStrike har botnettet i mindst to år været brugt til målrettede angreb mod open source‑udviklere med henblik på at stjæle legitimationsoplysninger og indsætte ondsindet kode i ellers legitim software.

Det skriver Tech Crunch.

Formålet med operationen var at afbryde de cyberkriminelles adgang til kompromitterede udviklermiljøer og stoppe yderligere spredning af malware gennem open source‑økosystemet. CrowdStrike oplyser, at mere end 300 GitHub‑repositories var blevet “forgiftet” som led i kampagnen.

Udvikleren som angrebsflade

Ifølge CrowdStrike afspejler Glassworm‑kampagnen et markant skift i angribernes strategi. Fokus er ikke længere alene på færdige produkter, men på de udviklere, der skriver koden.

Når en udviklers konto kompromitteres, kan det få konsekvenser langt ud over den enkelte organisation. Ondsindet kode kan spredes videre gennem afhængigheder og ramme tusindvis af brugere og systemer, der stoler på open source‑projekter som byggesten i deres egen software.

CrowdStrike beskriver udviklere som højværdimål, fordi et enkelt kompromis kan føre til et bredt forsyningskædeangreb.

Flere teknikker i spil

Glassworm‑aktørerne benyttede flere parallelle metoder for at opnå adgang og udbrede malware. Det omfattede blandt andet:

Ondsindede udviklerudvidelser offentliggjort på legitime markedspladser
Malvertising, hvor sponsorerede søgeresultater førte til inficerede downloads
Misbrug af stjålne legitimationsoplysninger, som gav adgang til eksisterende udviklerkonti og kodebaser

Kombinationen af teknikker gjorde angrebene vanskelige at opdage, da de ofte fremstod som legitime opdateringer eller velkendte værktøjer.

Kommandokanaler via utraditionelle platforme

Et centralt element i Glassworm‑infrastrukturen var brugen af usædvanlige command‑and‑control‑kanaler. Ifølge CrowdStrike anvendte aktørerne blandt andet:

Solana‑blockchainen
BitTorrent‑netværket
Google Calendar
Klassiske virtuelle private servere

Ved at kombinere decentraliserede teknologier med udbredte cloud‑tjenester har angriberne øget kompleksiteten og gjort infrastrukturen mere modstandsdygtig over for nedlukning.

Som led i operationen blev fire centrale kommandokanaler afbrudt, hvilket ifølge CrowdStrike fratog angriberne muligheden for at styre inficerede systemer og levere yderligere malware.

En del af et bredere mønster

Tech Crunch skriver, at det er uklart, på hvilket juridisk eller teknisk grundlag nedlukningen er gennemført. CrowdStrike har ikke ønsket at kommentere dette yderligere.

Glassworm‑sagen indskriver sig i en række nyere hændelser, hvor open source‑projekter er blevet udnyttet som angrebsflade. I den forløbne uge blev flere projekter kompromitteret i kampagnen Mini Shai‑Hulud, og tidligere på året blev et udbredt open source‑udviklingsværktøj kompromitteret i et separat forsyningskædeangreb.

Ifølge CrowdStrike viser Glassworm‑operationen, hvordan moderne angreb i stigende grad bygges op omkring tillid, udviklermiljøer og fælles kodebaser – frem for traditionelle netværksperimetre.

Læs mere

https://techcrunch.com/2026/05/27/crowdstrike-and-google-take-down-botnet-used-by-hackers-to-target-software-developers-in-supply-chain-attacks/

Information