2026年5月26日,网络安全公司CrowdStrike联合Google及Shadowserver Foundation宣布成功摧毁了代号为“Glassworm”的全球性僵尸网络。此次行动通过同时切断其全部四个命令与控制(C2)通道,彻底瘫痪了该网络的运作能力。
Glassworm僵尸网络自2025年初开始活跃,运营者为资源充足且具有高度持续性的犯罪团伙,据信其背后势力来自俄罗斯。与许多攻击网络不同,Glassworm并非广泛撒网,而是精确锁定软件开发者这一特定群体。攻击者之所以瞄准开发者,是因为他们手中握有大量高价值资源:源代码仓库、云平台访问权限、CI/CD流水线以及包注册表凭证。
- 京口令:
!J6NHf5HOewRhyCM3! CZ154- 淘口令:
88¥ MF168 h0W85DSomYr¥
攻击手段与传播机制
Glassworm的传播途径覆盖了开源软件生态的多个环节:通过植入后门的VSCode扩展、混入恶意代码的npm和Python包,以及至少300个被投毒的GitHub仓库进行扩散。一旦感染,该僵尸网络会执行信息窃取、凭证收集(包括GitHub令牌、npm令牌、SSH密钥和VSCode认证信息),并部署一款名为GlasswormRAT的全功能远程访问工具,受影响平台涵盖Windows、macOS和Linux。
独特的C2架构与同步打击
Glassworm之所以被称为“无法消灭的僵尸网络”,在于其C2基础设施采用了四个独立且相互冗余的通道:Solana区块链交易、BitTorrent DHT网络、Google日历事件标题以及传统的VPS服务器。这种设计使其具备极高的抗打击能力,任何单独针对其中一个通道的封堵都不足以瘫痪整体网络。CrowdStrike在报告中指出:“仅切断一个通道,其余通道仍然能够支撑运营者快速恢复控制。”正是出于这种判断,任务组选择了同时在所有四个通道上发动精确打击,从而使受感染机器无法接收新指令或载荷。
CrowdStrike在宣告行动成功时特别强调:“攻击者不再仅仅针对产品,他们开始瞄准产品的开发者。”这一断言揭示了当前威胁格局的重大转变——软件供应链正从代码层面延伸至人员层面。对于任何开发和消费软件的组织而言,这一事件都应被视为警钟:开发者安全已不再是个人问题,而是整体安全体系中不可忽视的一环。
本文参考来源:TechRadar
微信扫描下方的二维码阅读本文
