### 開発者を標的とする：収益性の高い攻撃ベクトル **GlassWorm**のオペレーターは、ソースコードリポジトリ、クラウドプラットフォーム、CI/CDパイプライン、およびパッケージレジストリへの特権アクセスを持つ開発者を系統的に標的としてきました。これにより、開発者はソフトウェアサプライチェーン攻撃における高価値な標的となり、単一の侵害されたワークステーションが数千のダウンストリーム組織やユーザーに影響を与える可能性があります。 ### 多角的キャンペーン 昨年出現して以来、**GlassWorm**は「多角的キャンペーン」を実行しており、**Microsoft VS Code Marketplace**と**Open VSX**の両方に公開されたトロイの木馬化された**VS Code**拡張機能が含まれています。この戦術により、マルウェアは**Cursor**、**Positron**、**Windsurf**、**VSCodium**などの**VS Code**フォークのユーザーを標的にすることができました。 キャンペーンでは、侵害されたnpmおよびPythonパッケージを通じて悪意のあるコードも導入されました。これらの攻撃の最終的な目的は、認証情報収集、仮想通貨ウォレットの流出、およびシステムプロファイリングが可能なデータ窃盗フレームワークを展開することです。 ### GlassWormRAT：ブラウザデータの窃盗 **GlassWorm**の後続のイテレーションでは、WebsocketベースのJavaScript RATである**GlassWormRAT**を展開し、Webブラウザデータを窃盗し、任意のコードを実行しました。これには、感染したシステムからスクリーンショット、キーストローク、クリップボードの内容などの機密データを収集する**Google Chrome**拡張機能のインストールが含まれます。 **Endor Labs**の研究者であるKiran Raj氏は、「一度アクティブになると、マルウェアはホスト上で開発者の認証情報（**GitHub**、NPM、**OpenVSX**トークン、仮想通貨ウォレット）を検索し、リポジトリやパッケージのアップロードのさらなる侵害を可能にします」と述べています。   感染したホストは、SOCKSプロキシ、隠しVNC（HVNC）サーバー、およびリモート実行ノード（WebRTCまたは生成されたNode.jsプロセス経由）として機能する秘密のインフラストラクチャに変換されます。これにより、攻撃者は企業ネットワークや個人ネットワークへの匿名化されたネットワークアクセスを取得でき、さらなる拡散を容易にします。 ### 強力なC2インフラストラクチャ 悪意のある活動は、盗まれた開発者認証情報を使用して300以上の**GitHub**リポジトリを侵害したと報告されています。この操作の重要な特徴は、回復力を高めるために4つの異なるC2チャネルを使用していたことです。 * **Solanaブロックチェーン**をデッドドロップリゾルバとして利用し、ブロックチェーントランザクションのメモフィールドにC2サーバーアドレスを保存しました。 * BitTorrent分散ハッシュテーブル（DHT）ピアツーピアネットワークにクエリを実行して、設定データを取得しました。 * **Google Calendar**をデッドドロップリゾルバとして使用し、イベントタイトルのC2サーバーアドレスを取得しました。 * 商用VPSプロバイダーでホストされているC2インフラストラクチャに直接接続しました。 **CrowdStrike**は、「ブロックチェーン、ピアツーピア、および正規のWebサービスをリゾリューションレイヤーとして組み合わせたことは、排除に強い耐性を持つように設計されており、複数の間接レイヤーの後ろにある実際のC2サーバーを保護する動的なフロントエンドとなっています」と述べています。 ### 排除と帰属 排除により、4つのC2チャネルすべてが同時に無力化され、感染したマシンが新しい指示やペイロードを受信できなくなりました。 **CrowdStrike**は、**GlassWorm**のオペレーターを「十分なリソースを持ち、執拗である」と説明し、この活動をロシアを拠点とするサイバー犯罪者によるものと推定しています。この評価は、マルウェアが独立国家共同体（CIS）諸国のシステムでの実行を終了する動作と、コード内にロシア語のコメントが存在することに基づいています。 ### ソフトウェアサプライチェーンのリスク **CrowdStrike**は、「ソフトウェアサプライチェーンは、現代のコンピューティングにおける最も重大な攻撃サーフェスの一つであり続けています。攻撃者は、組織のツール、アップデート、ライブラリへの依存を、武器化された配信メカニズムとフォースマルチプライヤーに変えています。」と結論付けています。 同社は、「パッケージや拡張機能に悪意のあるコードを混入させるための障壁は低いですが、潜在的な爆発半径は計り知れません。開発者環境、ビルドパイプライン、およびコードリポジトリが十分に保護されていない限り、ソフトウェアを消費するすべての組織は、それを生成したすべての組織のリスクを継承します。**GlassWorm**は、攻撃者がこれを認識しており、開発者エコシステムへの永続的なアクセスを維持するために、回復力のあるインフラストラクチャに投資していることを示しています。」と強調しました。