CrowdStrike與Google聯手破壞軟體供應鏈蠕蟲GlassWorm基礎設施

事件摘要

2026年5月26日,CrowdStrike 聯合 Google 與 Shadowserver基金會,成功破壞軟體供應鏈蠕蟲 GlassWorm 的殭屍網路及C2通訊基礎設施。此為開發工具生態系遭受的重大供應鏈蠕蟲攻擊之一,GlassWorm 最早於2025年10月曝光。

GlassWorm 攻擊範圍

  • 初始傳播:VS Code 市集、Open VSX 儲存庫
  • 擴展生態:PyPI、NPM、GitHub(超過300個儲存庫受感染)
  • 感染工具:VS Code、Cursor、Positron、Windsurf、VSCodium
  • 橫向移動:竊取開發者憑證後進一步感染供應鏈

多通道C2架構

GlassWorm 採用四層C2通訊架構以增加防禦難度:

  1. Solana 區塊鏈 — 去中心化指令傳遞
  2. BitTorrent DHT — 分散式雜湊表協定
  3. Google 行事曆 — 隱匿合法服務濫用
  4. VPS C2主機 — 傳統虛擬專屬伺服器

防禦方必須同時精準破壞所有四個通道才能有效切斷惡意指令,凸顯多通道架構的防禦高難度。

三方聯合行動

組織角色
CrowdStrike主導資安廠商
Google協助取下 Google 行事曆 C2 通道
Shadowserver基金會非營利 sinkholing 與監測支援

影響與意義

  • 此事件示範現代供應鏈蠕蟲需跨機構協作才能有效應對
  • 蠕蟲利用合法服務(Google Calendar)作為C2通道是規避偵測的新趨勢
  • 開發者生態系(IDE、套件管理器)成為高價值攻擊目標

來源文章

相關頁面