Začelo se je s kodo, ki je ni bilo.
Med pregledom Git repozitorijev v okviru penetracijskega testiranja smo opazili nekaj nenavadnega: datoteke, ki so v urejevalniku izgledale povsem običajne, vendar so se ob izvajanju obnašale drugače. Edini vidni namig je bilo neskladje v številu znakov.
To odstopanje nas je pripeljalo do odkritja prikrite zlonamerne kampanje, ki jo danes spremljamo pod imenom GlassWorm. Gre za večstopenjski Node.js implant, ki se skriva na očeh z uporabo nevidnih Unicode znakov ter pridobiva naslov svojega nadzornega strežnika (C2) prek verige blokov Solana in BitTorrent DHT omrežja.
Kar se je sprva zdelo kot manjša anomalija, se je izkazalo za razširjen napad na dobavno verigo, ki je prizadel več kot 100 javnih repozitorijev.