北京
你能想象一个恶意软件的控制者,不是把指令服务器藏在某个加了防火墙的VPS里,而是直接写在Solana区块链的交易备注、BitTorrent的分布式哈希表里,甚至在谷歌日历的事件标题里发射指令?这就是GlassWorm(玻璃蠕虫)的真实操作。网络安全服务商CrowdStrike联手谷歌和Shadowserver基金会,刚刚把这个潜伏在开发者工具链里、用四套完全不同的C2频道维持生存的恶意软件基础设施一锅端了。
GlassWorm不是一个简单的木马。从至少2025年初开始,它的运营者就系统性地瞄准软件开发者,盯上的正是这群人手握着源代码仓库、云平台、CI/CD流水线以及各种包注册表的人。CrowdStrike的说明很清楚,攻击者知道,只要撬开一个开发者的工作站,就能顺着依赖链直接冲垮下游数千个组织、波及海量用户。
它的传播招数相当花哨。GlassWorm通过篡改VS Code扩展来渗透开发环境,这些恶意扩展被同时塞进了微软的VS Code Marketplace和Open VSX,这样一来,就连Cursor、Positron、Windsurf、VSCodium这些VS Code的衍生编辑器用户全部成为潜在目标。与此同时,攻击者还向npm包和Python包中注入恶意代码,把包裹做成了开发者日常安装依赖时就顺手带进来的定时炸弹。
所有这一切,最终都是为了把一整套数据窃取框架稳稳当当地送到受感染的机器上。这套框架的核心能力包括凭证收割、加密货币钱包扒窃和系统全盘画像。后续的版本更是搬出了一个叫GlassWormRAT的JavaScript远控木马,基于Websocket通讯,能够扒走浏览器数据、运行任意代码,甚至偷偷给Chrome装一个专门定制的恶意扩展,这个扩展会进一步抓取屏幕截图、记录键盘敲击、截获剪贴板内容,把主机翻个底朝天。
Endor Labs的研究员Kiran Raj指出,恶意软件一旦激活,就会在宿主机上搜索开发者的各类凭证——GitHub令牌、NPM令牌、OpenVSX令牌和加密钱包,让攻击者能够继续污染更多的仓库和包上传。更阴损的是,被感染的机器会被转换成隐蔽的基础设施:SOCKS代理、隐藏的VNC服务和通过WebRTC或Node.js进程实现的远程执行节点。攻击者借此获得匿名网络入口,既潜入企业网络,又把触角伸进个人网络,形成持续传播的平台。
然而,GlassWorm最显眼的设计在于它的C2控制层,特意砌了四道完全独立、互相备份的防火墙。第一道,将Solana区块链当作死信解析器,把C2服务器的地址藏在一笔笔区块链交易的备注字段里,让任何试图封堵的人都得先拆遍账本。第二道,查询BitTorrent的分布式哈希表网络,用这个无中心的P2P网络来检索配置数据,传统的域名封堵对它完全没用。第三道,利用谷歌日历,从日历事件标题中提取下一步要连接的C2地址,让恶意流量伪装成普通HTTPS请求,淹没在海量合法流量里。第四道,直接连接部署在主流商业VPS上的控制服务器,保证最基本的主干通讯永远不断。
据CrowdStrike介绍,这种把区块链、点对点网络和正规网络服务组合成解析层的设计,原本就是为了对抗强行关停而生,形成一个动态的防护前沿。但防护前沿再动态,也没能抗住一场自底向上、同时切掉全部信道的联合手术。CrowdStrike、谷歌和Shadowserver基金会的同步打击,直接掐断了所有C2频道,让数千台受控机器瞬间失去指令来源。
整场攻击已经利用偷来的开发者凭证,污染了超过300个GitHub仓库。一次行动,靠着把开发者的身份和信任当成跳板,演变成横跨代码托管、包管理器、编辑器市场和浏览器插件的组合拳。而这次联合清除行动,等于一刀砍掉了这个组合拳的指挥中枢,让那些藏得再深、藏得再巧的操控手段,在跨组织的情报共享和执行协同面前,终究没能撑过同步倒计时的考验。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
