Glassworm僵尸网络被成功摧毁

曾经武器化开发者工具并攻击开源社区、污染数百个GitHub代码库的Glassworm僵尸网络，已在CrowdStrike、Google和Shadowserver基金会的联合行动中被彻底摧毁。

此次清除行动发生在5月26日下午，所有Glassworm的命令与控制（C2）通道被同时打击，切断了其操作者与僵尸网络的联系，阻止了他们传递新的恶意载荷。

CrowdStrike的反对手行动团队在一篇详细介绍此次行动的博客中表示："这次清除行动的意义超越了僵尸网络本身。Glassworm标志着威胁态势的重大转变，应该为每一个开发或使用软件的组织敲响警钟。攻击者不再仅仅针对产品，他们正在瞄准构建这些产品的开发者。"

系统性攻击开发者

近18个月来，Glassworm的操作者系统性地针对那些有权访问源代码仓库、云平台、持续集成与部署（CI/CD）管道以及软件包注册中心的开发者。

CrowdStrike表示，这些人是"极具价值的目标"，因为通过攻陷一个开源开发者的工作站，Glassworm的操作者在合适的情况下可以策划一次重大的供应链攻击，从而获得访问数千个下游用户组织的权限，使它们面临被攻陷、数据窃取和勒索的风险。

该团队并未将任何已知的供应链事件归因于Glassworm。

广泛的攻击活动

僵尸网络的操作者开展了一场广泛而多层次的攻击活动。他们将植入木马的VSCode扩展发布到OpenVSX市场，伪装成时间追踪器或代码格式化工具等实用工具。除了VSCode编辑器，这些扩展还针对Cursor、Positron、Windsurf和VSCodium等工具。

他们还利用被攻陷的npm和Python软件包，在安装后钩子和设置脚本中植入恶意代码。通过早期感染窃取的开发者凭证，他们能够向至少300个GitHub代码库推送恶意代码。

该行动针对Windows、Linux和MacOS环境，有多个最终目标，包括数据和凭证窃取，以及传递一个功能完整的Node.js远程访问木马（RAT），代号为GlasswormRAT。

复杂的基础设施

在事后分析中，CrowdStrike详细说明了Glassworm操作者如何构建一个具有弹性的四通道架构，旨在抵御清除行动。他们利用Solana区块链创建一个不可变的C2服务器地址死信箱，使用BitTorrent分布式哈希表（DHT）针对硬编码公钥存储配置数据，将Google日历作为另一个死信箱来存储Base62编码的C2路径，以及在商业虚拟专用服务器（VPS）服务上托管传统C2服务器来传递载荷。

CrowdStrike表示，这种区块链、点对点和合法网络服务作为解析层的组合，使Glassworm能够呈现一个动态前端来保护其基础设施，具有多层保护。这意味着清除行动本身需要高度精确且时机完美，因为只清除一个通道会让操作者迅速恢复。

开源安全的典范

根据CrowdStrike团队的说法，此次清除行动为应对供应链威胁建立了一个模型。Glassworm的操作者技术精湛、资源充足且持续不断，他们不断演进自己的能力，如果不加以制止，将对多个行业构成持续风险。

该团队表示，此次清除证明了针对如此具有弹性的威胁行为者，通过精确打击他们无法轻易替换的技术依赖，以及跨部门协作的价值，主动破坏是可以实现的。

截至撰写本文时，所有感染Glassworm的机器现在都在向一个良性IP地址——164.92.88[.]210——发送信标，该地址由CrowdStrike持有，这为受害者提供了通过审查网络日志和端点遥测数据来检测和修复任何攻陷的机会。

话虽如此，仅靠检测和修复是不够的。目前有数十个软件包生态系统被广泛使用，包含数百万个软件包，但内置安全控制有限，攻陷风险仍然很高。恶意软件包可以通过依赖更新几乎瞬间安装，而且很难在造成损害之前检测到任何异常。此外，事件的潜在影响范围是巨大的。

像Glassworm团伙这样的威胁行为者也知道这一切，CrowdStrike表示，这证明了为什么保护开源供应链的持续努力必须与对那些试图渗透它们的人采取积极姿态齐头并进。

该团队写道："只要开发者环境、构建管道和代码仓库仍然保护不足，每个使用软件的组织都会继承每个生产软件的组织的风险。安全社区——供应商、执法机构、平台运营商和开源生态系统——必须以同样的决心做出回应。我们需要更多像这样的行动和协调破坏。CrowdStrike致力于向对手发起反击。"

Q&A

Q1：Glassworm僵尸网络是如何攻击开发者的？

A：Glassworm通过多种方式攻击开发者：将植入木马的VSCode扩展发布到OpenVSX市场，伪装成实用工具；利用被攻陷的npm和Python软件包在安装脚本中植入恶意代码；使用窃取的开发者凭证向至少300个GitHub代码库推送恶意代码。攻击目标包括Windows、Linux和MacOS环境。

Q2：为什么开发者成为Glassworm的主要攻击目标？

A：开发者是极具价值的攻击目标，因为他们有权访问源代码仓库、云平台、CI/CD管道和软件包注册中心。通过攻陷一个开源开发者的工作站，攻击者可以策划重大供应链攻击，获得访问数千个下游用户组织的权限，使它们面临数据窃取和勒索风险。

Q3：Glassworm僵尸网络是如何被清除的？

A：CrowdStrike、Google和Shadowserver基金会在5月26日下午发起联合行动，同时打击Glassworm的所有命令与控制通道，包括Solana区块链、BitTorrent分布式哈希表、Google日历和传统C2服务器。这次精确且时机完美的协同打击切断了操作者与僵尸网络的联系，阻止了新恶意载荷的传递。