5月27日,CrowdStrike联合谷歌以及非营利性互联网监测机构Shadowserver宣布:他们已成功捣毁名为Glassworm的僵尸网络。该网络在过去两年中一直被犯罪分子用于攻击开源软件开发者,并向其维护的项目中植入恶意代码。此次行动成功切断了Glassworm攻击者赖以发送恶意载荷、控制受感染设备的四条命令与控制通道。据CrowdStrike的报告显示,这些C2基础设施的设计极为复杂:它们借助Solana区块链、BitTorrent点对点网络、Google日历乃至常规虚拟专用服务器进行数据传输,目的就是将恶意流量混入正常的网络活动之中。截至此次打击行动实施时,攻击者已篡改了超过300个GitHub代码库。他们主要采用了三种入侵手段:在开发者工具市场发布携带木马的扩展程序;通过付费搜索结果投放伪装成正规开发工具的恶意广告;利用此前窃取的密码信息破解开发者账户权限,进而将恶意代码直接嵌入项目代码中。
CrowdStrike指出,此次攻击标志着黑客的攻击策略出现了明显转向——他们开始将目标锁定为软件供应链中的人类环节。目前尚不清楚此次打击行动是依据何种法律或技术权限实施的,CrowdStrike方面也暂未对相关询问作出回应。此次Glassworm网络的覆灭紧随一系列同类事件之后:上周名为“Mini Shai-Hulud”的攻击活动破坏了数十个热门开源软件包,还导致一名OpenAI开发者的工作站遭到入侵;今年3月,疑似朝鲜势力发动的攻击则劫持了应用极广的Axios JavaScript库,向数百万终端用户推送恶意程序。