CrowdStrike 聯合 Google 與 Shadowserver Foundation,於 5 月 26 日同步切斷 GlassWorm 惡意軟體殭屍網路的全部四條指揮控制(C2)管道,終結這個自 2025 年初即持續鎖定軟體開發者的供應鏈攻擊行動。本次行動的技術核心,在於攻擊者刻意將 Solana 區塊鏈、BitTorrent 分散式雜湊表(Distributed Hash Table,DHT)與 Google Calendar 等合法服務混搭成抗打擊的 C2 中繼層,使單點下架策略徹底失效。
GlassWorm:瞄準開發者的多階段滲透行動
GlassWorm 自出現以來持續演進,攻擊手法涵蓋三條主要管道:
- 第一,在 Microsoft VS Code Marketplace 與 Open VSX 平台上架木馬化擴充套件,藉此感染使用 VS Code 衍生版本的開發者,包括 Cursor、Windsurf 與 VSCodium 的用戶均在受害範圍內。
- 第二,透過受汙染的 npm 與 Python 套件,在套件安裝腳本中植入惡意程式碼,悄悄隨開發工具鏈傳播。
- 第三,以竊得的開發者憑證直接汙染 GitHub 倉庫,累計超過 300 個倉庫遭到感染。
惡意程式碼一旦部署,即啟動資料竊取框架,目標包括 GitHub、npm 與 OpenVSX 的身份驗證憑證、加密貨幣錢包,以及主機系統資訊。後續版本進一步部署基於 WebSocket 的 JavaScript 遠端存取木馬 GlassWormRAT,可竊取瀏覽器資料、執行任意程式碼,並安裝惡意 Google Chrome 擴充套件,持續側錄螢幕截圖、鍵盤輸入與剪貼簿內容。
資安研究機構 Endor Labs 研究員 Kiran Raj 指出,受感染的主機不僅是資料洩漏的受害者,更被轉化為攻擊基礎設施本身。遭感染的設備會被設置為 SOCKS 代理、隱形虛擬網路計算(Hidden VNC,HVNC)伺服器,以及透過 WebRTC 或 Node.js 程序建立的遠端執行節點,讓攻擊者取得匿名化的企業內網存取能力,並以此為跳板進一步擴散。
四層 C2 架構:為抗打擊而生
本次行動中最受資安研究人員關注的,是 GlassWorm 的 C2 通訊架構設計。攻擊者同時使用四條獨立管道,確保任一管道被切斷後,其餘管道仍可維持對感染設備的掌控。
Solana 區塊鏈:將 C2 伺服器位址編碼寫入 Solana 鏈上交易的備忘欄位(memo field)。由於區塊鏈具有不可竄改的公開紀錄特性,傳統下架手段無法刪除這些指令。
BitTorrent DHT 網路:GlassWormRAT 查詢 BitTorrent P2P 網路,從事先寫入硬碼的公開金鑰對應節點中取得設定資料。去中心化的 P2P 網路不存在單一故障點,難以藉由封鎖單一伺服器來阻斷通訊。
Google Calendar:以 Google Calendar 活動標題作為 Base64 編碼 C2 路徑的藏匿位置,利用合法雲端服務規避防火牆與威脅情報偵測。
商業 VPS :作為最終的惡意酬載(payload)傳遞端點,使用租用的商業虛擬私人伺服器(Virtual Private Server,VPS)直接發送指令。
CrowdStrike 在報告中指出,區塊鏈、P2P 網路與合法網路服務的組合式中繼層設計,構成一個動態防護前線,讓實際的 C2 伺服器隱藏在多層間接路由之後,專為對抗下架行動而構建。正因如此,本次反制行動必須同步切斷全部四條管道,才能確實斷絕攻擊者對感染設備的指揮能力。
聯合摧毀行動與後續指標
行動完成後,所有受 GlassWorm 感染的設備目前均向 IP 位址
164.92.88[.]210 發送回連(beacon)請求,該位址由 CrowdStrike 負責管控。資安團隊可透過監控此網路指標,識別環境中是否存在受感染設備,並立即啟動清除程序。
CrowdStrike 同步發布了 YARA 規則,供資安人員用於確認疑似受感染主機的感染狀態。
在攻擊者歸因方面,CrowdStrike 評估 GlassWorm 的幕後操控者很可能源自俄羅斯的網路犯罪組織。主要依據包括:惡意程式碼在偵測到設備位於獨立國協(Commonwealth of Independent States,CIS)成員國時會自動終止執行,以及程式碼內部含有俄語註解。
供應鏈安全
CrowdStrike 在本次報告中強調,軟體供應鏈至今仍是現代資訊環境中危害程度最高的攻擊面之一。攻擊者正將組織對工具、更新與函式庫的依賴性,轉化為武器化的傳遞機制與威脅倍增器。毒化一個套件或擴充套件的門檻極低,但潛在的爆炸半徑卻極為龐大。只要開發環境、建置流水線(CI/CD pipeline)與程式碼倉庫持續處於防護不足的狀態,每一個消費軟體的組織,便繼承了所有軟體生產者帶來的風險。
對台灣企業與開發者而言,GlassWorm 事件提供了幾項具體的防範參考:應定期稽核已安裝的 VS Code 擴充套件與 npm 套件來源;對第三方套件的安裝後腳本實施嚴格審查;在 CI/CD 管線中導入軟體物料清單(SBOM)機制,追蹤依賴關係的完整性;並對開發者工作站的對外連線行為進行異常監控,特別是與 P2P 網路及區塊鏈節點的非預期通訊。
延伸閱讀:GlassWorm再進化,Zig dropper程式鎖定多款開發者環境