CrowdStrike與Google聯手破壞軟體供應鏈蠕蟲GlassWorm基礎設施
事件摘要
2026年5月26日,CrowdStrike 聯合 Google 與 Shadowserver基金會,成功破壞軟體供應鏈蠕蟲 GlassWorm 的殭屍網路及C2通訊基礎設施。此為開發工具生態系遭受的重大供應鏈蠕蟲攻擊之一,GlassWorm 最早於2025年10月曝光。
GlassWorm 攻擊範圍
- 初始傳播:VS Code 市集、Open VSX 儲存庫
- 擴展生態:PyPI、NPM、GitHub(超過300個儲存庫受感染)
- 感染工具:VS Code、Cursor、Positron、Windsurf、VSCodium
- 橫向移動:竊取開發者憑證後進一步感染供應鏈
多通道C2架構
GlassWorm 採用四層C2通訊架構以增加防禦難度:
- Solana 區塊鏈 — 去中心化指令傳遞
- BitTorrent DHT — 分散式雜湊表協定
- Google 行事曆 — 隱匿合法服務濫用
- VPS C2主機 — 傳統虛擬專屬伺服器
防禦方必須同時精準破壞所有四個通道才能有效切斷惡意指令,凸顯多通道架構的防禦高難度。
三方聯合行動
| 組織 | 角色 |
|---|---|
| CrowdStrike | 主導資安廠商 |
| 協助取下 Google 行事曆 C2 通道 | |
| Shadowserver基金會 | 非營利 sinkholing 與監測支援 |
影響與意義
- 此事件示範現代供應鏈蠕蟲需跨機構協作才能有效應對
- 蠕蟲利用合法服務(Google Calendar)作為C2通道是規避偵測的新趨勢
- 開發者生態系(IDE、套件管理器)成為高價值攻擊目標
來源文章
相關頁面
- crowdstrike — 主導資安公司
- glassworm — 蠕蟲惡意程式實體
- shadowserver — 合作非營利基金會
- software-supply-chain-attack — 軟體供應鏈攻擊概念
- Nx Console VS Code延伸套件供應鏈攻擊CVE-2026-48027竊資軟體植入 — 相關VS Code供應鏈事件