CrowdStrikeがGlasswormサプライチェーンボットネットを壊滅

CrowdStrikeは、侵害されたオープンソースパッケージ、悪意のあるVSCode拡張機能、および汚染されたGitHubリポジトリを通じてソフトウェア開発者を標的にした大規模なオペレーション「Glasswormボットネット」の協調的なテイクダウンを発表しました。 

GoogleおよびShadowserver Foundationと共同で実施されたこの作戦により、ボットネットのインフラが破壊され、オペレーターと感染システム間の通信が遮断されました。

「GoogleおよびShadowserver Foundationと協力し、Glasswormの4つのコマンド＆コントロール（C2）チャネルすべてを同時に攻撃しました」と、この作戦に関する投稿でCrowdStrikeは述べています。

Glasswormボットネットテイクダウンの主なポイント

• CrowdStrike、Google、Shadowserver FoundationがGlasswormサプライチェーンボットネットを壊滅させた
• このキャンペーンは悪意のあるVSCode拡張機能、npm/Pythonパッケージ、汚染されたGitHubリポジトリを通じて開発者を標的にした
• GlasswormはSolana、BitTorrent DHT、Googleカレンダー、VPSサーバーを含む分散型C2インフラを使用した
• 300以上のGitHubリポジトリが盗まれた開発者の認証情報を使用して侵害されたと報告されている
• このマルウェアはWindows、macOS、Linuxシステムを標的に認証情報の窃取とリモートアクセス機能を持っていた

Glasswormキャンペーンの内部  

Glasswormキャンペーンは、攻撃者がソフトウェア開発者とより広範なソフトウェアサプライチェーンに注力していることを浮き彫りにしています。 

開発者はリポジトリ、クラウドプラットフォーム、デプロイメントパイプラインへの特権アクセスを持つことが多いため、開発者アカウントを一つ侵害するだけで、攻撃者は信頼されたソフトウェアエコシステム全体に悪意のあるコードを配布する経路を得られます。 

Glasswormが開発者を狙った手口 

CrowdStrikeによると、Glasswormのオペレーターは開発者環境とオープンソースエコシステム全体へのリーチを最大化するために複数の配布メカニズムを使用しました。 

このキャンペーンは、コードフォーマッターや生産性関連ユーティリティなど、正規の開発者ツールに偽装したトロイの木馬化されたVSCode拡張機能をOpenVSXマーケットプレイスを通じて配布しました。 

悪意のある拡張機能はVSCode本体以外にも、Cursor、VSCodium、Windsurf、Positronなど複数の開発環境を標的にしていたと報告されています。

オペレーターはまた、依存関係のインストール中に自動実行されるよう設計された悪意のあるインストール後スクリプトを埋め込むことで、npmおよびPythonパッケージを侵害しました。 

300以上のGitHubリポジトリが、盗まれた開発者の認証情報を使用して悪意のあるコードを信頼されたリポジトリとデフォルトブランチにプッシュすることで汚染されたと報告されています。  

このマルウェアはWindows、macOS、Linuxシステムに影響を与え、GlasswormRATとして知られるNode.jsベースのリモートアクセスツールが含まれていました。 

CrowdStrikeは、このマルウェアにより侵害された開発者システム上での認証情報の窃取、持続性の確保、情報収集、リモートアクセスが可能になったと述べています。  

GlasswormのC2インフラの内部 

Glasswormのインフラは、複数の分散型コマンド＆コントロール（C2）チャネルを同時に使用することで、従来の妨害試みに耐えられるよう設計されていました。 

CrowdStrikeによると、一つの通信メカニズムはSolanaブロックチェーンのトランザクションメモフィールド内にサーバー情報を格納しており、従来のテイクダウン手法に耐性を持つ公開デッドドロップシステムを効果的に構築していました。 

もう一つはBitTorrent分散ハッシュテーブル（DHT）ネットワークを活用し、単一障害点のないピアツーピアインフラを通じて設定データを取得していました。

このマルウェアはまた、GoogleカレンダーのイベントタイトルをBase64エンコードされたC2パスの格納に使用しながら、最終段階のペイロード配信と運用制御のために従来のVPSホスティングサーバーを維持していました。 

この多層アーキテクチャは、ブロックチェーンサービス、ピアツーピア（P2P）ネットワーク、クラウドプラットフォーム、従来のホスティングプロバイダーにわたる冗長性を生み出し、一つの通信チャネルが妨害されても運用の継続性を維持できるようにしていました。

CrowdStrikeがボットネットを壊滅させた方法 

CrowdStrikeは、ボットネットを効果的に無効化し感染システムとの通信を遮断するために、4つのコマンド＆コントロールチャネルすべてを同時に妨害する必要があったと述べています。 

同社は、オペレーターがツールをJavaScriptからRustおよびZigへと進化させながら、追加の開発者プラットフォームへ拡大していたと述べています。 

サプライチェーンリスクを軽減する方法 

ソフトウェアサプライチェーン攻撃が開発者環境やオープンソースエコシステムを標的にし続ける中、組織はビルドパイプライン、リポジトリ、依存関係管理ワークフロー全体でセキュリティ管理を強化するよう求められています。 

• 開発者環境、CI/CDパイプライン、リポジトリを監視する。異常なパッケージアクティビティ、不正な変更、不審な認証動作に注意してください。
• 拡張機能と依存関係をインストール前に検証し、不要なサードパーティパッケージを制限し、可能な場合はプライベートアーティファクトリポジトリを使用してください。
• MFA、最小権限アクセス、ブランチ保護、署名済みコミット、および開発者・管理者アカウント全体での特権アクセス制御を実施してください。
• コード署名の検証、ソフトウェアコンポジション分析（SCA）、SBOMの可視化、およびファイル整合性監視を実装して、悪意のあるまたは脆弱なコンポーネントを特定してください。
• 開発環境とビルド環境を本番システムから分離し、パブリックパッケージエコシステムへの不要なアウトバウンド接続を制限してください。
• 開発者ワークステーション全体でエンドポイントの可視性と動作検出機能を強化し、認証情報の窃取、持続性の確保、不審なビルドアクティビティを特定してください。
• ソフトウェアサプライチェーンの侵害、悪意のあるパッケージ、リポジトリ侵害を含むインシデントレスポンス、封じ込め、復旧計画を定期的にテストしてください。

これらの対策を総合的に実施することで、組織はソフトウェアサプライチェーンのリスクを軽減し、運用上のレジリエンスを構築することができます。 

増大するサプライチェーンの脅威 

Glassworm作戦は、攻撃者が信頼されたソフトウェアエコシステムと開発者インフラを標的にするという、より広範な傾向の転換を反映しています。 

オープンソースリポジトリ、パッケージレジストリ、CI/CD環境は、侵害された単一のパッケージや開発者アカウントが何千もの下流ユーザーとシステムに影響を与える可能性があるため、依然として魅力的な標的となっています。  

悪意のあるパッケージや依存関係が特定される前に自動化された開発ワークフローを通じて急速に拡散する可能性があるため、検出だけではサプライチェーン攻撃に対して効果が低くなってきています。 

CrowdStrikeは、プロアクティブな妨害活動と業界横断的な連携が、サプライチェーンリスクの軽減と耐性の高い脅威インフラの破壊においてますます重要になっていると強調しています。 

信頼されたソフトウェアエコシステムに関連するリスクを軽減しようとする組織の中には、アクセス制御、セグメンテーション、および開発者環境全体のセキュリティを強化するためにゼロトラストソリューションに目を向けるところも出てきています。