据techcrunch.com报道,网络安全公司CrowdStrike联合Google及非营利组织Shadowserver,于2026年5月27日前后成功关停一个名为Glassworm的僵尸网络。该网络被黑客用于向开源软件开发者分发恶意软件、窃取凭据,并已持续针对全球开源供应链攻击长达两年。
攻击路径:瞄准开发者工作台,波及下游数千组织
根据CrowdStrike发布的报告,Glassworm黑客组织并非直接攻击终端产品,而是将目标锁定在软件开发者的本地工作站。“对手不再仅仅针对产品,而是针对构建这些产品的开发者。”报告指出,“开发者是极高价值目标:攻陷单个开发者的工作站,可能引发级联式供应链渗透,影响数千家下游组织和用户。”
攻击者采用多重技术组合实施入侵:在开发者常用的应用市场发布恶意浏览器扩展;通过“恶意广告”(malvertising)投放付费搜索结果,诱导开发者下载含木马的安装包;并复用此前泄露的账户凭证,劫持开发者GitHub账号,在其托管的代码库中植入后门。截至行动前,Glassworm已成功“污染”(poisoned)超过300个GitHub代码仓库——这些仓库被广泛集成进企业级应用、云服务及嵌入式系统中。
四类C2通道被切断,含Solana区块链与Google Calendar
CrowdStrike确认,此次行动共关停Glassworm使用的4个命令与控制(C2)通信通道,彻底阻断其对受感染设备的远程操控能力及后续恶意载荷投递。技术分析显示,这些C2基础设施具有高度隐蔽性与混合架构特征:包括基于Solana区块链的域名生成算法(DGA)节点、利用BitTorrent点对点网络传输指令的代理服务器、伪装成正常日程条目的Google Calendar API调用,以及部署在多个司法管辖区的虚拟专用服务器(VPS)。
值得注意的是,原文未说明此次行动所依据的具体法律授权或技术协作机制。CrowdStrike发言人当时未就执法权限或协调流程作出公开回应。
同期多起开源供应链攻击频发,OpenAI开发者遭入侵
就在Glassworm行动收尾阶段,另一场代号为“Mini Shai-Hulud”的供应链攻击正在发酵。据TechCrunch披露,该团伙近期成功入侵一名OpenAI开发者的账户,并通过其维护的开源项目推送恶意更新。另一起已确认事件发生于2026年3月:疑似朝鲜背景黑客组织劫持了全球数百万开发者日常使用的开源HTTP客户端库Axios,篡改其npm包分发渠道,植入持久化后门。
行业数据显示,2025至2026年第一季度,针对开源生态的供应链攻击事件同比上升68%(来源:Sonatype 2026 State of the Software Supply Chain Report)。其中,约73%的攻击始于开发者账户凭证泄露或第三方依赖包投毒,而非传统网络边界突破。GitHub平台在2026年Q1拦截的恶意提交(malicious commits)达14,200起,较2025年同期增长近一倍。
对全球供应链从业者而言,Glassworm事件凸显出当前软件交付链中最薄弱环节已从CI/CD流水线前移至开发者个人终端。企业安全团队正被迫调整策略:除加强SaaS应用权限治理外,还需将MFA强制覆盖至所有开发者工具链(如GitHub、npm、PyPI),并对开源贡献者实施基于行为分析的异常登录监测。据Linux基金会2026年4月调研,已有41%的头部科技企业将“开发者工作站零信任加固”列为年度采购优先项,平均预算投入达28万美元/企业。
来源:TechCrunch
本文编译自海外媒体报道,由 SCI.AI 编辑团队整理发布。
