夜雨聆风网络安全公司CrowdStrike近日宣布,已与Google及Shadowserver Foundation合作,同步瓦解了恶意软件Glassworm(亦称GlassWorm)的所有命令与控制(C2)信道。Glassworm是一场持续针对软件开发人员的软件供应链攻击活动,通过恶意软件包和扩展程序渗透开发者生态,自至少2025年初以来已造成大范围影响。
锁定开发者,放大攻击半径Glassworm的运营者系统性地将软件开发者作为攻击目标。开发者往往拥有源代码仓库、云平台、CI/CD流水线及软件包注册中心的访问权限,一旦其工作环境被攻陷,攻击者便可利用单个受感染节点,对成百上千的下游组织和用户造成连锁破坏。CrowdStrike指出,攻击者正在将组织依赖的工具、更新和库转化为武器化的投递机制和效果倍增器,而污染一个软件包或扩展的门槛极低,潜在爆炸半径却极大。
多管齐下的渗透渠道该恶意软件采用“多管齐下”的方式入侵开发环境。攻击者首先在Microsoft VS Code Marketplace和Open VSX上发布被木马化的VS Code扩展,使其能够覆盖Cursor、Positron、Windsurf和VSCodium等VS Code分支的用户。其次,通过在npm和Python生态中植入恶意代码,包括劫持React Native相关的npm包。据Sonatype Security Research发现,两个被篡改的React Native npm包合计每周下载量超过3万次,均被修改为投放多阶段载荷。此外,攻击者利用窃取的开发者凭证,向超过300个GitHub仓库强制推送恶意代码,注入的内容保留原始提交者和日期,外观与正常历史记录无异。
精密的窃密与持久化载荷Glassworm的最终目标是部署一套数据窃取框架,具备凭证收集、加密货币钱包窃取和系统信息采集功能。后续变种进一步植入了基于WebSocket的JavaScript远程访问木马GlasswormRAT,可窃取浏览器数据并运行任意代码,包括安装一个恶意Google Chrome扩展,从而截取屏幕截图、记录按键和剪贴板内容。Endor Labs研究员Kiran Raj指出,一旦激活,恶意软件会搜索主机上的开发者凭证(如GitHub、NPM、OpenVSX令牌及加密钱包),进而用于进一步攻陷仓库和上传恶意包。受感染的主机还会被转变为隐蔽基础设施,包括SOCKS代理、隐藏VNC(HVNC)服务器以及通过WebRTC或派生的Node.js进程实现的远程执行节点,使攻击者获得匿名化的网络访问通道,并向企业和个人网络进一步渗透。
高度韧性的四重C2架构Glassworm最为突出的特点在于其采用了四种截然不同的C2信道,以提升抗打击能力:其一,将C2服务器地址存储在Solana区块链交易的备注字段中,用作死信解析器;其二,查询BitTorrent分布式哈希表(DHT)对等网络以获取配置数据;其三,将Google Calendar事件标题作为死信解析器,从中提取C2地址;其四,直接连接托管在商业VPS提供商上的C2基础设施。CrowdStrike评价称,这种结合区块链、P2P网络和合法互联网服务的解析层设计,旨在抵抗关停,形成一层动态防护,将真实的C2服务器隐藏于多重间接层之后。本次联合行动同时中和了全部四条信道,使受感染机器无法再接收新指令或载荷。
规避与溯源Glassworm在执行时会有意规避位于独立国家联合体(CIS)国家的系统,且代码中包含俄语注释。基于此,CrowdStrike将该活动归因于可能位于俄罗斯的网络犯罪团伙,并称其“资源充足且持续活跃”。同时,恶意脚本会检测系统是否设置为俄语区域,若是则跳过执行,这一手法常被用于规避特定地区的执法关注。在隐蔽性方面,恶意代码还使用不可见的Unicode字符嵌入源代码,使其在编辑器和GitHub代码审查界面中呈现为空白,肉眼难以觉察。最终载荷经过AES加密,解密密钥仅通过服务器响应头传输,极大增加了静态分析的难度。
影响范围与响应建议首波攻击中,仅恶意VS Code和OpenVSX扩展就感染了约35,800名开发者。随着活动持续,Glassworm已扩展至Python仓库、npm包和人工智能相关开发工具。鉴于开发者普遍在本地存储云凭证、SSH密钥、API令牌和加密货币钱包,安全团队应立刻审查所有已安装的VS Code扩展,移除任何不明来源的扩展。开发者需要在可能暴露过的系统上轮换GitHub令牌和云凭证,并为所有开发者平台启用多因素认证。企业还应当监控指向Solana RPC端点或未知IP地址的出站连接,此类流量在正常开发流水线中并无存在理由。
CrowdStrike总结道:“软件供应链仍是现代计算中影响最深远的攻击面之一。只要开发环境、构建流水线和代码仓库依然防护不足,每一个消费软件的组织都将继承所有软件生产者的风险。Glassworm表明,攻击者深知这一点,并正在投资建设高韧性的基础设施,以维持对开发者生态系统的持久访问。”
