Glassworm僵尸網(wǎng)絡被成功摧毀

曾經(jīng)武器化開發(fā)者工具并攻擊開源社區(qū)、污染數(shù)百個GitHub代碼庫的Glassworm僵尸網(wǎng)絡，已在CrowdStrike、Google和Shadowserver基金會的聯(lián)合行動中被徹底摧毀。

此次清除行動發(fā)生在5月26日下午，所有Glassworm的命令與控制（C2）通道被同時打擊，切斷了其操作者與僵尸網(wǎng)絡的聯(lián)系，阻止了他們傳遞新的惡意載荷。

CrowdStrike的反對手行動團隊在一篇詳細介紹此次行動的博客中表示："這次清除行動的意義超越了僵尸網(wǎng)絡本身。Glassworm標志著威脅態(tài)勢的重大轉(zhuǎn)變，應該為每一個開發(fā)或使用軟件的組織敲響警鐘。攻擊者不再僅僅針對產(chǎn)品，他們正在瞄準構(gòu)建這些產(chǎn)品的開發(fā)者。"

系統(tǒng)性攻擊開發(fā)者

近18個月來，Glassworm的操作者系統(tǒng)性地針對那些有權(quán)訪問源代碼倉庫、云平臺、持續(xù)集成與部署（CI/CD）管道以及軟件包注冊中心的開發(fā)者。

CrowdStrike表示，這些人是"極具價值的目標"，因為通過攻陷一個開源開發(fā)者的工作站，Glassworm的操作者在合適的情況下可以策劃一次重大的供應鏈攻擊，從而獲得訪問數(shù)千個下游用戶組織的權(quán)限，使它們面臨被攻陷、數(shù)據(jù)竊取和勒索的風險。

該團隊并未將任何已知的供應鏈事件歸因于Glassworm。

廣泛的攻擊活動

僵尸網(wǎng)絡的操作者開展了一場廣泛而多層次的攻擊活動。他們將植入木馬的VSCode擴展發(fā)布到OpenVSX市場，偽裝成時間追蹤器或代碼格式化工具等實用工具。除了VSCode編輯器，這些擴展還針對Cursor、Positron、Windsurf和VSCodium等工具。

他們還利用被攻陷的npm和Python軟件包，在安裝后鉤子和設置腳本中植入惡意代碼。通過早期感染竊取的開發(fā)者憑證，他們能夠向至少300個GitHub代碼庫推送惡意代碼。

該行動針對Windows、Linux和MacOS環(huán)境，有多個最終目標，包括數(shù)據(jù)和憑證竊取，以及傳遞一個功能完整的Node.js遠程訪問木馬（RAT），代號為GlasswormRAT。

復雜的基礎設施

在事后分析中，CrowdStrike詳細說明了Glassworm操作者如何構(gòu)建一個具有彈性的四通道架構(gòu)，旨在抵御清除行動。他們利用Solana區(qū)塊鏈創(chuàng)建一個不可變的C2服務器地址死信箱，使用BitTorrent分布式哈希表（DHT）針對硬編碼公鑰存儲配置數(shù)據(jù)，將Google日歷作為另一個死信箱來存儲Base62編碼的C2路徑，以及在商業(yè)虛擬專用服務器（VPS）服務上托管傳統(tǒng)C2服務器來傳遞載荷。

CrowdStrike表示，這種區(qū)塊鏈、點對點和合法網(wǎng)絡服務作為解析層的組合，使Glassworm能夠呈現(xiàn)一個動態(tài)前端來保護其基礎設施，具有多層保護。這意味著清除行動本身需要高度精確且時機完美，因為只清除一個通道會讓操作者迅速恢復。

開源安全的典范

根據(jù)CrowdStrike團隊的說法，此次清除行動為應對供應鏈威脅建立了一個模型。Glassworm的操作者技術(shù)精湛、資源充足且持續(xù)不斷，他們不斷演進自己的能力，如果不加以制止，將對多個行業(yè)構(gòu)成持續(xù)風險。

該團隊表示，此次清除證明了針對如此具有彈性的威脅行為者，通過精確打擊他們無法輕易替換的技術(shù)依賴，以及跨部門協(xié)作的價值，主動破壞是可以實現(xiàn)的。

截至撰寫本文時，所有感染Glassworm的機器現(xiàn)在都在向一個良性IP地址——164.92.88[.]210——發(fā)送信標，該地址由CrowdStrike持有，這為受害者提供了通過審查網(wǎng)絡日志和端點遙測數(shù)據(jù)來檢測和修復任何攻陷的機會。

話雖如此，僅靠檢測和修復是不夠的。目前有數(shù)十個軟件包生態(tài)系統(tǒng)被廣泛使用，包含數(shù)百萬個軟件包，但內(nèi)置安全控制有限，攻陷風險仍然很高。惡意軟件包可以通過依賴更新幾乎瞬間安裝，而且很難在造成損害之前檢測到任何異常。此外，事件的潛在影響范圍是巨大的。

像Glassworm團伙這樣的威脅行為者也知道這一切，CrowdStrike表示，這證明了為什么保護開源供應鏈的持續(xù)努力必須與對那些試圖滲透它們的人采取積極姿態(tài)齊頭并進。

該團隊寫道："只要開發(fā)者環(huán)境、構(gòu)建管道和代碼倉庫仍然保護不足，每個使用軟件的組織都會繼承每個生產(chǎn)軟件的組織的風險。安全社區(qū)——供應商、執(zhí)法機構(gòu)、平臺運營商和開源生態(tài)系統(tǒng)——必須以同樣的決心做出回應。我們需要更多像這樣的行動和協(xié)調(diào)破壞。CrowdStrike致力于向?qū)κ职l(fā)起反擊。"

Q&A

Q1：Glassworm僵尸網(wǎng)絡是如何攻擊開發(fā)者的？

A：Glassworm通過多種方式攻擊開發(fā)者：將植入木馬的VSCode擴展發(fā)布到OpenVSX市場，偽裝成實用工具；利用被攻陷的npm和Python軟件包在安裝腳本中植入惡意代碼；使用竊取的開發(fā)者憑證向至少300個GitHub代碼庫推送惡意代碼。攻擊目標包括Windows、Linux和MacOS環(huán)境。

Q2：為什么開發(fā)者成為Glassworm的主要攻擊目標？

A：開發(fā)者是極具價值的攻擊目標，因為他們有權(quán)訪問源代碼倉庫、云平臺、CI/CD管道和軟件包注冊中心。通過攻陷一個開源開發(fā)者的工作站，攻擊者可以策劃重大供應鏈攻擊，獲得訪問數(shù)千個下游用戶組織的權(quán)限，使它們面臨數(shù)據(jù)竊取和勒索風險。

Q3：Glassworm僵尸網(wǎng)絡是如何被清除的？

A：CrowdStrike、Google和Shadowserver基金會在5月26日下午發(fā)起聯(lián)合行動，同時打擊Glassworm的所有命令與控制通道，包括Solana區(qū)塊鏈、BitTorrent分布式哈希表、Google日歷和傳統(tǒng)C2服務器。這次精確且時機完美的協(xié)同打擊切斷了操作者與僵尸網(wǎng)絡的聯(lián)系，阻止了新惡意載荷的傳遞。