**Aikido**、**Socket**、**Step Security**、および**OpenSourceMalware**コミュニティの研究者たちは、今月、**GlassWorm**に起因する攻撃で433の侵害されたコンポーネントを共同で特定しました。 ### キャンペーン概要 証拠によると、**GlassWorm**キャンペーンの背後には単一の脅威アクターが存在し、コマンド・アンド・コントロール（C2）活動に同じ**Solana**ブロックチェーンアドレス、同一または機能的に類似したペイロード、および共有インフラストラクチャを利用しています。 **GlassWorm**は昨年10月に初めて観測されました。攻撃者は「見えない」Unicode文字を使用して、仮想通貨ウォレットデータと開発者の認証情報を収集するように設計された悪意のあるコードを隠蔽していました。 Secure Annexの研究者であるJohn Tuckner氏が発見したように、このキャンペーンは**Microsoft**の公式**Visual Studio Code**マーケットプレイスと**OpenVSX**レジストリに拡大しました。 **macOS**システムも標的とされており、**Trezor**と**Ledger**のトロイの木馬化されたクライアント、および後に侵害された**OpenVSX**拡張機能を通じて開発者が標的となりました。 ### 最新攻撃の範囲 最新の**GlassWorm**攻撃波は、以下に影響を与える、はるかに広範囲に及んでいます： * 200の**GitHub** Pythonリポジトリ * 151の**GitHub** JS/TSリポジトリ * 72の**VSCode/OpenVSX**拡張機能 * 10の**npm**パッケージ ### 攻撃ベクトルと技術 初期の侵害は**GitHub**で発生し、アカウントが侵害されて悪意のあるコミットが強制プッシュされます。 その後、悪意のあるパッケージと拡張機能は**npm**および**VSCode/OpenVSX**に公開され、検出を回避するために難読化されたコード（見えないUnicode文字）が特徴となります。  *出典：Aikido* すべてのプラットフォームで、**Solana**ブロックチェーンは5秒ごとに新しい命令をクエリされます。**Step Security**によると、2025年11月27日から2026年3月13日の間に50件の新しいトランザクションがあり、そのほとんどはペイロードURLの更新でした。 命令はトランザクションのメモとして埋め込まれ、**Node.js**ランタイムのダウンロードとJavaScriptベースの情報スティーラーの実行につながりました。  *出典：Step Security* このマルウェアは、仮想通貨ウォレットデータ、認証情報、アクセス・トークン、SSHキー、および開発環境データを標的とします。 ### 帰属と緩和策 コードコメントの分析は、ロシア語話者の脅威アクターが**GlassWorm**の背後にいる可能性を示唆しています。マルウェアは、システムにロシア語ロケールが見つかった場合、実行をスキップします。しかし、これは確実な帰属には不十分です。 **Step Security**は、**GitHub**から直接Pythonパッケージをインストールしたり、クローンされたリポジトリを実行したりする開発者に対し、マーカー変数「lzcdrtfxyqiplpd」（**GlassWorm**マルウェアの指標）をコードベースで検索して、侵害の兆候を確認することを推奨しています。  *出典：Step Security* また、永続化に使用される*~/init.json*ファイルの存在、およびホームディレクトリ内の予期しない**Node.js**インストール（例：~/node-v22*）をシステムで検査することを推奨しています。 さらに、開発者は最近クローンされたプロジェクトで疑わしい*i.js*ファイルを探し、コミッター日付が元の作成者日付よりも大幅に新しいコミットなどの異常がないか**Git**コミット履歴を確認する必要があります。