TokyoBlackHatNews

theregister.com 4分で読了

CrowdStrikeとGoogleがGlasswormボットネットを壊滅

サイバー犯罪

開発者を標的にしたサプライチェーン攻撃が近年急増

CrowdStrikeは、GoogleおよびShadowserver Foundationと協力して、Glasswormボットネットを壊滅させたと発表した。Glasswormは2025年初頭から開発者を標的に活動し、汚染されたソフトウェアパッケージを通じて拡散してきた、自己増殖型の認証情報窃取ワームである。

同エンドポイントセキュリティ大手のCounter Adversary Operationsチームとパートナー各社は、火曜日の14:00 UTC(協定世界時)に、Glasswormのコマンド&コントロール(C2)チャネル4つすべてに同時に打撃を与え、「攻撃者を感染マシンから切り離し、新たな悪意あるペイロードを送り込む手段を封じた」とCrowdStrikeのブログは伝えている。

Google脅威インテリジェンスグループの主席アナリスト、ジョン・ハルトクイスト氏はソーシャルメディアへの投稿で自社の関与を認めた。「この妨害活動の一環として、攻撃者——特に当社製品を悪用したり、当社ユーザーを標的にした者——に、より大きな打撃を与えるべくパートナーと連携している」とハルトクイスト氏は投稿した。 

Googleの広報担当者は、壊滅作戦における同社の役割についてThe Registerへの詳細なコメントを控えた。

今回の妨害は、別の自己増殖型ワームであるMini Shai-Huludがオープンソースコードに蔓延し、悪意ある攻撃者がGitHubリポジトリを汚染したり、npmパッケージに対しても同様のサプライチェーン攻撃を仕掛け、開発者の環境を標的にしている中で起きた。

「Glasswormは脅威の状況に大きな転換点をもたらし、ソフトウェアを開発・利用するすべての組織に警鐘を鳴らすものとなった」とCrowdStrikeは述べた。「攻撃者はもはや製品だけを狙うのではなく、それを開発する開発者そのものを標的にしている。」

私たちは攻撃者に、特に当社製品を悪用したり当社ユーザーを標的にした者に対して、より大きな打撃を与えるべくパートナーと連携している

Glasswormは2025年10月にエンドポイントセキュリティ企業Koiによって初めて発見された。このワームは不可視のUnicodeベースのコードインジェクション、ブロックチェーンベースのC2インフラ、そしてバックアップ用コマンドサーバーとしてGoogle Calendarを利用し、感染した開発者のマシンを犯罪用プロキシノードに変えていた。この自己増殖型ワームは当初、OpenVSXマーケットプレイス上のVS Code拡張機能を標的にした後、npmおよびPythonパッケージへと移行し、さらに過去のGlassworm感染で収集した盗んだ認証情報を使って300以上のGitHubリポジトリを汚染した。

このワームは、別の自己増殖型マルウェア株であるShai Huludがnpmパッケージ(CrowdStrikeが管理するものを含む)に最初に感染してから約1ヶ月後に出現した。GlasswormはWindows、macOS、Linuxを含む全プラットフォームに感染し、認証情報やその他の機密情報を窃取するとともに、GlasswormRATという独自のNode.jsリモートアクセスツールも生成していた。

壊滅を困難にするよう設計されたC2アーキテクチャ

GlasswormのC2インフラは、壊滅工作を複雑にするために4つの独立したチャネルを使用していた。その一つは、ブロックチェーントランザクションのメモフィールドにC2サーバーアドレスをエンコードするSolanaブロックチェーンであり、従来の手段ではC2をオフラインにできない仕組みになっていた。また、Google CalendarのイベントタイトルをBase64エンコードされたC2パスのデッドドロップ場所として利用していた。

GlasswormRATは、ハードコードされた公開鍵に対して保存された設定データに、分散型BitTorrent DHT(分散ハッシュテーブル)を使用していた。

そして最後に、Glasswormは商用VPSプロバイダーにホストされた従来型のC2サーバーを、最終的なペイロード配信メカニズムとして利用していた。

4つのチャネルすべてを同時に遮断するには「精密さとタイミングが求められた」とCrowdStrikeは述べている。「1つのチャネルだけを壊滅させても他のチャネルが稼働し続け、攻撃者が素早く体制を立て直すことができたであろう。」 

Glasswormに感染したすべてのマシンは現在、CrowdStrikeが運用する無害なIPアドレス164.92.88[.]210へとビーコンを送信している。同社は各組織に対し、ネットワークログおよびエンドポイントテレメトリーでこのアドレスへの接続を確認するよう呼びかけており、接続が検出された場合はGlassworm感染を示している。 ®

翻訳元: https://www.theregister.com/cyber-crime/2026/05/27/crowdstrike-google-shatter-glassworm-botnet/5247337

ソース: theregister.com
#C2インフラ #CrowdStrike #GlassWorm #Google #サプライチェーン攻撃 #ソフトウェアセキュリティ #ボットネット壊滅 #自己増殖型ワーム #認証情報窃取 #開発者標的

関連記事

シャドーAIの従業員利用について自信過剰な経営幹部たち

FBI:ITスタッフを把握せよ――恐喝グループが技術サポートを装って法律事務所に侵入

インドのサイバー機関、AIの脅威が高まる中、悪用された脆弱性への対応期限を12時間に設定