オープンソースソフトウェア開発者を標的にするボットネット「Glassworm」をCrowdStrikeやGoogleが遮断

CrowdStrikeがGoogle・Shadowserver Foundationと協力し、オープンソースのソフトウェア供給網を狙うボットネット「Glassworm」の遮断作戦を実行したと発表しました。Glasswormは開発者の端末や認証情報を侵害し、下流の組織や利用者に被害が広がる恐れのある脅威として扱われています。

Inside CrowdStrike’s Takedown of a Developer-Targeting Botnet
https://www.crowdstrike.com/en-us/blog/inside-crowdstrike-takedown-of-a-developer-targeting-botnet/

CrowdStrike and Google take down botnet used by hackers to target open source software developers | TechCrunch
https://techcrunch.com/2026/05/27/crowdstrike-and-google-take-down-botnet-used-by-hackers-to-target-software-developers-in-supply-chain-attacks/

CrowdStrikeによると、Glasswormの攻撃者は少なくとも2025年初めから、ソースコードリポジトリ、クラウド基盤、CI/CDパイプライン、パッケージレジストリにアクセスできる開発者を継続的に狙っていたとのこと。これは1人の開発者端末が侵害されるだけで、下流の多数の組織や利用者に影響が広がる可能性があるためです。

Glasswormを用いた攻撃では、時間管理ツールやコード整形ツールに見せかけてOpenVSXマーケットプレイスに悪意あるVSCode拡張機能が公開されていました。これらの拡張機能はVSCodeだけでなく、Cursor、Positron、Windsurf、VSCodiumなども標的にしていたとのこと。また、GlasswormはnpmやPythonのパッケージにも悪意あるコードを仕込み、通常の依存関係インストール時に静かに実行される仕組みを使っていました。さらに以前の感染で盗んだ開発者の認証情報を使い、300件を超えるGitHubリポジトリの既定ブランチに悪意あるコードを強制的に押し込んだとされています。

Glasswormの基盤はSolanaブロックチェーン、BitTorrentの分散ハッシュテーブル、Googleカレンダー、商用VPS上の直接接続という4つのコマンド＆コントロール(C2)経路で構成されていました。CrowdStrikeは、いずれか1つだけを止めても攻撃者が復旧できるため、4経路を同時に遮断する必要があったと説明しています。

CrowdStrikeはGlasswormの背後にいる犯罪者がロシアを拠点としている可能性が高いと主張。その根拠として、マルウェアが被害端末の地域・言語設定・タイムゾーンを確認し、独立国家共同体の国にある端末だと判断した場合に終了することや、ソースコード内にロシア語のコメントがあることを挙げています。

CrowdStrikeは感染確認のためのネットワーク指標として、Glasswormに感染した端末はCrowdStrike運用の無害なIPアドレス(164.92.88.210)へ通信すると説明しています。この通信がログやエンドポイントの記録で確認された場合、Glassworm感染として直ちに対処が必要だとしています。

CrowdStrikeはソフトウェア供給網攻撃では事後検知だけでは不十分だと強調。悪意あるパッケージは依存関係の更新を通じて数秒でインストールされるため、攻撃基盤そのものを積極的に解体する姿勢が必要だとしました。