- CrowdStrike、Google、Shadowserverは2026年5月26日、Glasswormボットネットの4つの耐障害性C2チャネルをすべて同時に破壊することで、共同解体に成功した
- 2025年初頭から活動していたGlasswormは、トロイの木馬化されたVSCode拡張機能、汚染されたnpm/Pythonパッケージ、侵害されたGitHubリポジトリを通じて拡散し、開発者の認証情報を窃取しながらWindows、macOS、Linux全体にGlasswormRATを展開していた
- 今回の解体は、脅威の焦点が製品から開発者へとシフトしたことを示しており、ブロックチェーン、BitTorrent DHT、Googleカレンダー、VPSベースのインフラを無力化するためには高度に連携した精度が求められた
CrowdStrike、Google、およびShadowserver Foundationのサイバーセキュリティ研究者たちが連携し、世界中のソフトウェア開発者を標的とした大規模ボットネットの解体に乗り出した。
発表の中で同社は、2026年5月26日にタスクフォースがGlasswormボットネットの4つのC2チャネルをすべて同時に遮断することで解体したと述べた。
Glasswormは少なくとも2025年初頭から活動しているグローバルなボットネットであり、おそらくロシアを拠点とする資金力のある執拗な犯罪者グループによって運営されている。このグループは、ソースコードリポジトリ、クラウドプラットフォーム、CI/CDパイプライン、パッケージレジストリといったアクセス権を持つソフトウェア開発者を、主にオープンソースのサプライチェーンを通じて標的にしていた。
「倒せない」ボットネットを倒す
「今回の解体が意味するのは、ボットネット自体を超えたものです。Glasswormは脅威の状況における重大な転換点を示しており、ソフトウェアを出荷・利用するすべての組織にとって警鐘となるはずです」とCrowdStrikeは説明した。「敵対者はもはや製品だけを標的にしているのではなく、それを開発する開発者を標的にしています。」
このボットネットは、トロイの木馬化されたVSCode拡張機能、npmおよびPythonパッケージに忍び込んだ悪意あるコード、さらには汚染されたGitHubリポジトリ(少なくとも300件)を通じて拡散した。マルウェアは情報窃取、認証情報の収集(GitHubトークン、npmトークン、SSHキー、VSCode認証情報)を実行し、GlasswormRATと呼ばれる多機能なリモートアクセスツールを展開して、Windows、macOS、Linuxシステムに被害をもたらした。
このボットネットのC2アーキテクチャは4つのチャネルを使用していた。すなわち、Solanaブロックチェーン、BitTorrent DHT、Googleカレンダーのイベントタイトル、そして従来型のVPSサーバーであり、いずれも従来の解体手法への耐性を持つよう設計されていた。この組み合わせにより、Glasswormは「倒せないボットネット」という異名を得ており、解体には「精度とタイミング」が求められた。
「1つのチャネルを遮断するだけでは、他のチャネルが稼働し続け、運営者が迅速に再構築できてしまいます」とCrowdStrikeは説明した。「4つのチャネルすべてを連携して同時に遮断する必要がありました。その結果、感染したマシンは新たな命令やペイロードを受信できなくなりました。
