CrowdStrike・GoogleがGlasswormボットネットを解体

CrowdStrike、Google、Shadowserver Foundationが参加した業界連携の取り組みにより、Glasswormボットネットの活動が阻止された。

3つの組織が協力し、Glasswormのコマンド＆コントロール（C2）チャネル4つすべてを同時にダウンさせることに成功し、攻撃者を感染マシンから切り離すとともに、新たな悪意あるペイロードを配信する手段を奪った。

これらのチャネルには、商用仮想プライベートサーバー（VPS）上にホストされた従来型のC2サーバーが含まれていた。

このボットネットはさらに、一般的ではなくよりステルス性の高い手段にも依存していた。具体的には、Base64エンコードされたC2パスのデッドドロップ場所として使用されたGoogleカレンダーのイベントタイトル、ピアツーピアネットワーク、そしてブロックチェーンベースのインフラが挙げられる。特に、SolanaブロックチェーンのトランザクションのMemoフィールドにC2サーバーアドレスをエンコードする手法が用いられていた。

GlasswormのリモートアクセスツールはBitTorrentピアツーピアネットワークに対してクエリを実行し、ハードコードされた公開鍵に紐付けて保存された設定データを取得していた。

「ブロックチェーン、ピアツーピア、そして正規のWebサービスを解決レイヤーとして組み合わせたこの構成は、テイクダウンへの耐性を持つよう設計されていた。複数の間接レイヤーの背後にある実際のC2サーバーを守る、動的なフロントエンドとして機能していた」と、CrowdStrikeは5月26日に公開したレポートで述べている。

すべてのチャネルを同時に破壊しなければならなかったのはこのためだ。

「一つのチャネルだけをダウンさせても残りが稼働し続け、攻撃者は素早く再構築できてしまう」とCrowdStrikeは付け加えた。

Glasswormと悪意あるVS Code拡張機能・npmおよびPythonパッケージとの関連

オープンソースソフトウェアサプライチェーン攻撃において広く知られた存在であるGlasswormは、少なくとも2025年初頭から悪意ある攻撃者によって制御されるデバイスのネットワークとして活動してきた。

このボットネットは、ソフトウェア開発者をターゲットにした複数の多段階型悪意あるキャンペーンに使用されており、Windows、macOS、Linuxシステム全体にわたって開発者が依存するオープンソースパッケージへの汚染を行ってきた。

Glasswormに関連するとされる活動には、OpenVSXマーケットプレイスに公開されたMicrosoft Visual Studio Code（VS Code）のトロイの木馬化された拡張機能や、ポストインストールフックおよびセットアップスクリプトを通じて悪意あるコードを注入したnpmおよびPythonパッケージへの侵害などが含まれる。

また、過去のGlassworm感染によって収集された開発者の認証情報を悪用し、300以上のGitHubリポジトリが汚染されたとCrowdStrikeは付け加えた。

同社はGlasswormが「脅威の状況に重大な変化をもたらした」と強調し、「ソフトウェアを開発・利用するすべての組織にとって警鐘となるべき事案だ」と述べた。

「攻撃者はもはや製品だけを標的にするのではなく、それを構築する開発者そのものを標的にしている。パッケージや拡張機能を汚染するためのハードルは低く、潜在的な被害の規模は甚大だ。開発環境、ビルドパイプライン、コードリポジトリが十分に保護されないままである限り、ソフトウェアを利用するすべての組織は、それを生産するすべての人のリスクを引き継ぐことになる」とCrowdStrikeの脅威ハンターたちは警告した。