世界中のソフトウェア開発者を標的とする高度に耐性を持つボットネット、Glasswormのインフラを壊滅させる大規模かつ協調的な攻撃が行われた。
CrowdStrike Counter Adversary Operationsが主導し、GoogleおよびCrowdStrike Shadowserver Foundationと連携したこのテイクダウンは、ボットネットが持つ4つのコマンド&コントロール(C2)チャネルをすべて同時に遮断した。
この断固たる行動により、広範なサプライチェーン脅威はその場で食い止められ、積極的な妨害活動がいかに根深いサイバー犯罪ネットワークをも打倒できるかが証明された。
2025年初頭以降、ロシア系と見られる脅威アクターが大規模な感染拡大を目的として、ソフトウェア開発者を組織的に標的にしてきた。
攻撃者たちは、開発者の端末1台を侵害するだけで、数千の下流組織に影響を及ぼすサプライチェーン災害へと連鎖し得るという重大な現実を理解していた。
ローカルシステムへの影響を避けるため、このマルウェアはロケール設定を密かに確認し、CIS加盟国のホストを検出した場合は処理を終了した。
攻撃者たちは感染率を最大化するため、複数の主要エコシステムにわたり高度に回避的かつ多角的なキャンペーンを展開した。
人気のタイムトラッカーやコードフォーマッターに偽装したトロイの木馬化されたVSCode拡張機能が、OpenVSXマーケットプレイスに公開された。
悪意あるnpmおよびPythonパッケージは、通常の依存関係インストール時にインストール後のセットアップスクリプトを通じて密かに実行された。
300以上のGitHubリポジトリが、盗まれた開発者の認証情報を利用してデフォルトブランチに悪意あるコードを強制的に注入することで汚染された。
GlasswormのC2アーキテクチャは、従来のテイクダウン対策を生き残れるよう特別に設計されていた。脅威アクターたちは、分散型ネットワークと正規Webサービスを組み合わせた動的な冗長インフラを構築していた。
Solanaブロックチェーンのトランザクションは、不変かつ公開のデッドドロップとして、メモフィールドにエンコードされたC2サーバーアドレスを保存していた。
GlasswormRATは、ハードコードされた公開鍵を使用してBitTorrent分散ハッシュテーブル(DHT)に設定データを照会していた。また、GoogleカレンダーのイベントタイトルはBase64エンコードされたC2パスを保持するために悪用されていた。
従来の商用VPSサーバーは、最終的なペイロードの配信とリモートアクセスを担っていた。
4つのC2チャネルがすべて同時に遮断されたことにより、感染したマシンは新たなペイロードや指示を受信できなくなった。
侵害されたシステムは現在、CrowdStrikeが管理するシンクホールIPアドレスに安全にビーコン送信している。
セキュリティチームは、攻撃者がインフラの再構築を試みる前に影響を受けたシステムを特定するため、エンドポイントのテレメトリおよびネットワークログを緊急に確認する必要がある。
翻訳元: https://cyberpress.org/glassworm-targets-developer-platforms/
