**Glassworm**キャンペーンは2025年10月から続いており、当初は悪意のある**OpenVSX**および**Microsoft VS Code**拡張機能を使用して開発者を標的としていました。これらの拡張機能は、仮想通貨ウォレットや開発者の認証情報を盗むように設計されていました。その後、攻撃は**GitHub**リポジトリや**npm**パッケージに拡大し、3月の1回のキャンペーンで400以上のソフトウェア成果物に影響を与えました。 最近の攻撃では、**Glassworm**のオペレーターは**OpenVSX**上に多数の休眠状態の拡張機能を配置し、アップデート後に悪意のあるコンポーネントを起動させていました。 ## 堅牢なC2インフラ **Glassworm**がこれほど執拗であった理由の1つは、そのC2インフラです。このボットネットは非伝統的な通信チャネルを活用しており、テイクダウンが極めて困難でした。 「ブロックチェーン、ピアツーピア、および正規のWebサービスを解決レイヤーとして組み合わせたものは、テイクダウンに対して堅牢であるように設計されていました。これは、複数の間接レイヤーの背後にある実際のC2サーバーを保護する動的なフロントでした」と**CrowdStrike**は述べています。 研究者たちは、ボットネットのオペレーターがインフラを特に堅牢性を重視して構築したことを強調しました。テイクダウンには、4つのC2チャネルすべてに対する同時攻撃が必要でした。 1. **Solana**ブロックチェーン：C2サーバーのアドレスはブロックチェーントランザクションのメモフィールドにエンコードされており、改ざん不可能で公開アクセス可能なデッドドロップを作成していました。 2. **BitTorrent**分散ハッシュテーブル（DHT）：**GlasswormRAT**は、ハードコードされた公開鍵に対して保存された設定データを**BitTorrent**ピアツーピアネットワークからクエリしていました。 3. 公開カレンダーサービス：**Glassworm**は、**Google Calendar**のイベントタイトルをBase64エンコードされたC2パスのデッドドロップ場所として使用していました。 4. 直接サーバー接続：商用VPSプロバイダーでホストされる従来のC2インフラは、最終的なペイロード配信メカニズムとして機能していました。  *Glasswormコマンド＆コントロールアーキテクチャ 出典：CrowdStrike* このアーキテクチャのため、単一のチャネルを妨害しても、通信は別のチャネルに簡単に切り替えることができ、脅威アクターが制御を維持できるため、影響は最小限にとどまったでしょう。 ## 連携テイクダウン 「4つのチャネルすべてを連携された取り組みで同時に妨害する必要がありました。その結果、感染したマシンは新しい指示やペイロードを受信できなくなりました」と**CrowdStrike**は述べています。 無力化の後、**Glassworm**攻撃で侵害されたすべてのマシンは、現在**CrowdStrike**が運用するIPアドレス164.92.88[.]210にビーコンを送信しています。 組織は、このネットワークインジケーターを探し、直ちに修復措置を講じることを推奨します。研究者たちは、疑わしいホストでの感染を確認するのに役立つYARAルールも公開しています。 ## 検証のギャップ：自動ペンテストは1つの質問に答える。あなたには6つが必要。 自動ペンテストツールは真の価値を提供しますが、それらは1つの質問に答えるために構築されました：攻撃者はネットワークを通過できるか？それらは、あなたのコントロールが脅威をブロックするか、検出ルールが発火するか、クラウド設定が保持されるかをテストするために構築されたものではありません。 このガイドでは、実際に検証する必要がある6つのサーフェスについて説明します。 [今すぐダウンロード](https://hubs.li/Q048zztN0)