# CrowdStrike 联手谷歌捣毁「Glassworm」僵尸网络:专攻开源开发者的供应链大敌 > 单个开发者的机器沦陷,可级联影响数千下游组织。Glassworm 僵尸网络两年间投毒 300+ GitHub 仓库,利用 Solana 区块链、Google 日历等四通道逃避追踪,最终被私营安全力量一锅端。 ## 事件核心 2026 年 5 月 26 日,CrowdStrike 联合 Google 威胁情报组及非营利组织 Shadowserver Foundation,对活跃两年之久的 **Glassworm** 僵尸网络执行了同步打击。四条指挥控制(C2)通道被同时切断,攻击者对受感染设备的操控能力被彻底瘫痪。 该僵尸网络专门针对**开源软件开发者**发起供应链攻击,已投毒超过 300 个 GitHub 仓库和多个 npm/PyPI 包。CrowdStrike 判定 Glassworm 幕后为俄罗斯籍犯罪团伙(恶意代码检测到独联体国家语言/时区则自动退出)。 ## 关键数据 - **持续时间**:活跃超过 2 年(来源:CrowdStrike) - **投毒量**:300+ GitHub 代码仓库被污染(来源:CrowdStrike + TechCrunch) - **跨平台能力**:Windows/macOS/Linux 全面覆盖(来源:CyberScoop) - **武器化工具**:GlasswormRAT——Node.js 编写的远程访问木马,可窃取凭证、加密货币钱包、环境密钥(来源:CrowdStrike 博客) - **攻击载体**:恶意 VSCode 扩展(OpenVSX 市场)、搜索广告(malvertising)、凭证劫持(来源:TechCrunch 交叉验证) ## 攻击手法详解 Glassworm 采用三层渗透策略: 1. **恶意扩展**:在 OpenVSX 市场发布木马化的 VSCode 扩展(伪装成计时器、代码格式化工具),同时瞄准 Cursor、Windsurf、VSCodium 等 AI 开发环境。 2. **恶意广告**:购买搜索引擎赞助结果(malvertising),诱导搜索相关工具的开发者下载恶意软件。 3. **凭证劫持**:利用此前窃取的凭据劫持合法 GitHub 账户,将恶意代码强制推送到仓库默认分支,通过 npm/PyPI 包的 postinstall 钩子和 setup 脚本静默执行。 **被切断的四条 C2 通道(高度非典型的混合架构)**: | 通道 | 运作方式 | |------|----------| | Solana 区块链 | C2 地址编码在交易 memo 字段中,利用区块链不可篡改性作为永久死信投放点 | | BitTorrent DHT | 通过 P2P 分布式哈希表查询存储配置数据 | | Google 日历 | 利用公开日历事件标题作为 Base64 编码的 C2 指令死信投放点 | | 商业 VPS 服务器 | 传统 C2 直连通道 | 四条通道全部同步瘫痪后,已感染设备无法接收新指令。 ## 背景与上下文 这不是个例。2026 年供应链攻击事件密集爆发: - **数周前**:「Mini Shai-Hulud」活动导致至少 2 名 OpenAI 开发者被攻陷 - **2026 年 3 月**:疑似朝鲜黑客劫持了被数百万开发者使用的 Axios HTTP 库 - **整体趋势**:CrowdStrike 指出「对手已不再仅针对产品,而是针对构建产品的开发者」——单个开发者机器沦陷,可级联影响数千下游组织 数十个包生态系统(npm、PyPI、OpenVSX、GitHub Actions)的数百上千万个包,内置安全控制有限。供给端(安全厂商联动)的精准打击成为当前最有效的防御手段。 ## 行业影响 1. **私营部门协同打击成为新模式**:在法律追诉跨国黑客不可行时,CrowdStrike + Google + Shadowserver 的基础设施精准打击展示了有效替代方案。 2. **AI IDE 成为新攻击面**:Glassworm 针对 Cursor、Windsurf 等 AI 开发环境的扩展市场发起攻击,说明攻击者已意识到 AI 编程工具中扩展/插件的信任链价值。 3. **Solana 等去中心化平台的「邪恶用例」**:利用区块链的不可篡改性存储 C2 指令是新兴趋势,传统域名/IP 封禁对此类攻击无效。 ## 不同视角 - **CrowdStrike**:打击是「破坏」(disruption)而非彻底根除——C2 可重建,但需要重大投入 - **开源社区**:npm、PyPI、GitHub 等平台的安全内建检测机制仍需大幅加强。用户层面应避免运行不明 npm postinstall 脚本,审查依赖更新来源 - **法律层面**:TechCrunch 追问 CrowdStrike 的执法权限依据,CrowdStrike 拒绝回应 --- ## 参考链接 - [CrowdStrike and Google take down botnet targeting open source developers — TechCrunch](https://techcrunch.com/2026/05/27/crowdstrike-and-google-take-down-botnet-used-by-hackers-to-target-software-developers-in-supply-chain-attacks/) - [Glassworm Botnet takedown — CrowdStrike Blog](https://www.crowdstrike.com/blog/) - [Glassworm takedown: Solana, BitTorrent C2 channels — CyberScoop](https://cyberscoop.com/)