GlassWormボットネットが壊滅

オープンソースソフトウェアのエコシステムを6か月以上にわたって標的にしてきたGlassWormボットネットが壊滅した、とサイバーセキュリティ企業CrowdStrikeが報告した。

CrowdStrikeはGoogleおよびShadowserver Foundationと協力し、GlassWormの4つのコマンド＆コントロール（C&C）チャネルを同時に閉鎖し、感染マシンへのアクセスおよび新たなペイロードの配信を阻止した。

このマルウェアはC&CインフラにSolanaブロックチェーンを使用しており、Googleカレンダー、BitTorrentピアツーピアネットワーク、および商用VPSプロバイダーでホストされた従来のサーバーがバックアップC&Cとして機能していた。

GlassWormの運営者は、変更や削除が不可能なブロックチェーントランザクションのメモフィールドにC&Cアドレスをエンコードしていた。

BitTorrentネットワークはハードコードされた公開鍵に対応する設定データの保存に使用され、GoogleカレンダーはイベントタイトルにおいてBase64エンコードされたC&Cパスの保存に使用され、従来のC&Cサーバーはペイロードのホスティングに使用されていた。

「ブロックチェーン、ピアツーピア、および正規のウェブサービスを解決レイヤーとして組み合わせることは、テイクダウンへの耐性を持つよう設計されていた。複数の間接レイヤーの背後にある実際のC&Cサーバーを守るダイナミックな前線だ」とCrowdStrikeは指摘している。

4つのチャネルすべてを同時に閉鎖することで、各サイバーセキュリティ企業は運営者の感染マシンへのアクセスおよび新たな指令を配信する能力を断ち切った。

2025年10月に初めて発見されたGlassWormは、Unicodeバリエーションセレクターを使用してコードエディター上でそのコードを隠蔽し、人間の目には見えない状態にしていた。

この自己増殖型マルウェアは当初、OpenVSXマーケットプレイスを通じてトロイの木馬化されたVisual Studio拡張機能として配布されていた。しかし11月にはGitHub上にも出現した。

2026年に入っても、GlassWormの攻撃はVS開発者やその他のオープンソースソフトウェアエコシステムを標的にし続けた。3月には複数のPythonプロジェクトが侵害された。

「Glasswormの背後にいる運営者は豊富なリソースを持ち、執拗だ。1年以上の期間にわたり、彼らは継続的に進化し続けた。新しいプログラミング言語の採用（JavaScriptからRust、Zigへ）、パッケージエコシステムの拡大（VSCode、npm、PyPI、GitHub）、そしてテイクダウンの試みに耐えられるよう設計された冗長なインフラの構築と、その進化は多岐にわたる」とCrowdStrikeは述べている。

GlassWormは、数十の暗号通貨拡張機能から機密情報（NPM、GitHub、Gitの認証情報など）や資金を窃取するよう設計されている。また、感染マシンへのリモートアクセスのためにSOCKSプロキシサーバーおよび隠しVNCサーバーも展開する。

攻撃者が窃取した認証情報にアクセスしていたことで、被害を受けた開発者にとどまらず、重大なサプライチェーン侵害が継続的に発生するリスクが生まれていた。影響を受けた可能性のあるソフトウェアの利用者すべて（企業やその他の組織を含む）も侵害のリスクにさらされていた。

CrowdStrikeによると、GlassWormの運営者はロシア起源である可能性を示す証拠がある。このマルウェアはシステムのロケールを確認し、CIS諸国のマシンへの感染を回避しており、そのコードにはロシア語のコメントが含まれている。

「このテイクダウンが重要なのは、ボットネットそのものを超えた意味があるからだ。Glasswormは脅威の状況における重大な変化を示しており、ソフトウェアを開発・利用するすべての組織に対する警鐘として機能するはずだ。敵対者はもはや製品を標的にするだけでなく、それを構築する開発者を標的にしている」とCrowdStrikeは指摘している。

GlassWormインフラのテイクダウンに加え、CrowdStrikeは感染マシンに対して無害なIPアドレス164.92.88[.]210へのビーコン送信を指示した。各組織はこのIPアドレスへの接続を確認し、潜在的な感染を特定することが推奨される。

「開発者の環境、ビルドパイプライン、コードリポジトリが十分に保護されていない限り、ソフトウェアを利用するすべての組織は、それを生産するすべての人のリスクを引き継ぐことになる。Glasswormは、攻撃者がこのことを認識しており、開発者エコシステムへの持続的なアクセスを維持するために耐性のあるインフラへの投資を行っていることを示している」とCrowdStrikeは指摘している。