このボットネットは2025年初頭に活動を開始し、オープンソースサプライチェーン全体のソフトウェア開発者を標的にしていた。
Glasswormボットネットは、オープンソースサプライチェーンを通じてソフトウェア開発者を標的にしたグローバルな作戦であり、CrowdStrikeが主導した協調テイクダウンにより水曜日に壊滅させられた。
ボットネットの指揮統制チャネル4つすべてが同時に標的とされ、感染したコンピューターから切り離され、悪意あるペイロードを配信できない状態に追い込まれたと、同社のブログ投稿によると 、このサイバーセキュリティ企業は述べている。
CrowdStrikeによると、2025年初頭から、Glasswormの運営者はソースコードリポジトリ、CI/CDパイプライン、パッケージレジストリ、クラウドプラットフォームへのアクセス権を持つ開発者を標的にしてきたという。
このボットネットは、認証情報の窃取やデータ盗難を含む幅広い悪意ある機能を備えており、GlasswormRATと呼ばれるNode.js製のリモートアクセスツールも含まれていた。
CrowdStrikeはGoogleおよびShadowserver Foundationと連携してGlasswormに対処したが、同社はこのボットネットがロシアを拠点としている可能性が高いと述べている。
Glasswormキャンペーンでは、300以上のGitHubリポジトリが汚染され、過去の攻撃から認証情報が収集された。
悪意あるコードは、侵害されたnpmおよびPythonパッケージを通じて導入された。さらに、トロイの木馬化されたVS Code拡張機能がOpen VSXマーケットプレイスに公開された。
研究者らによると、このボットネットのC2アーキテクチャは、耐障害性を維持し、従来の妨害工作に耐えられるよう設計されていたという。
