開発者を狙うボットネット「Glassworm」、CrowdStrike・Googleらが共同でテイクダウン

　CrowdStrikeは5月26日、ソフトウェア開発者を標的としたボットネット「Glassworm」のテイクダウンに成功したと報告した。同社のCounter Adversary Operationsチームと、Google、Shadowserver Foundationが共同で実施し、Glasswormが利用する4つのC2(Command and Control)チャネルを同時に断ち切ることで、感染したマシンが新たなペイロードを受け取れない状態にした。

　Glasswormは、2025年初頭頃から活動が確認されていたソフトウェア開発者を標的とするボットネット。Visual Studio Codeの拡張機能などを装って標的のマシンに感染し、認証情報の収集や情報の窃取、リモートアクセスツールのインストールなどを行なうとともに、npmやPythonパッケージを改ざんし、ソフトウェアサプライチェーン全体の侵害を狙う。

　また、4つのC2チャネルを組み合わせて冗長性を高めている点も特徴的で、一般的な手法であるサーバーへの直接接続に加え、Solanaブロックチェーン、BitTorrent分散ハッシュテーブル(P2P)、Googleカレンダー(正規のWebサービス)を併用することで、1つのチャネルが停止しても、ほかのチャネルから攻撃者が復旧できる仕組みとなっていた。

　CrowdStrikeでは今回、GoogleおよびShadowserver Foundationと協力し、これら4つのC2チャネルを同時にテイクダウンすることに成功。感染したマシンに新たな命令やペイロードが届かないようにした。なお、感染したマシンは、CrowdStrikeが運用する無害なIPアドレスにビーコンを送信するため、このアドレスへの接続を検出することで感染状況が確認できるとしている。

　報告の中でCrowdStrikeは、ソフトウェアサプライチェーンは、悪意あるパッケージや拡張機能の配布といった攻撃側の障壁が低い一方で、侵害の影響範囲が非常に広く、現代のコンピューティングにおいて最も重大な攻撃対象領域の1つであると注意を促した。