在一场针对网络黑产的“外科手术式”打击中,谷歌(Google)与网络安全巨头 CrowdStrike 协同非营利组织 Shadowserver,成功摧毁了潜伏长达两年的 Glassworm 僵尸网络。该网络专门针对开源软件开发者发动攻击,试图通过控制开发者工作站来污染全球软件供应链。
潜伏两年的“掘金者”被终结
2026 年 5 月底,全球网络安全领域迎来了一次重大的联合反击行动。网络安全公司 CrowdStrike 发布的最新报告显示,通过与谷歌及互联网监测组织 Shadowserver 的深度合作,他们已经成功干扰并拆除了名为 Glassworm 的大规模僵尸网络基础设施。
Glassworm 的活动轨迹最早可以追溯到两年前,在这段漫长的潜伏期内,该僵尸网络背后的犯罪团伙一直致力于向开源软件开发者推送恶意软件,并疯狂窃取他们的各类账户凭证。这次联合行动不仅封禁了其核心控制服务器,还切断了其进一步扩张的通信链路。
攻击范式的转型:从“产品”转向“开发者”
Glassworm 的被毁揭示了一个令整个业界感到寒意的趋势:网络犯罪分子的攻击策略正在发生根本性的第一性原理跃迁。过去,黑客往往直接攻击现成的软件产品或企业服务器,但现在,他们发现攻击“上游”的开发者效率更高。
CrowdStrike 在其官方行动报告中指出,开发者已经成为极高价值的单点目标。只要攻破了一名开发者的工作站,黑客就能获得代码库的访问权限,进而向合法的开源项目中植入后门。一旦开源供应链被入侵,受影响的将不再是单一用户,而是下游成千上万家依赖这些代码的企业和组织。开发者手中的密钥,实际上就是通往数字世界各处大门的“万能钥匙”。
技术细节:精准的凭证窃取与持久化
Glassworm 僵尸网络的技术手段非常狡黠。它并不追求大规模的随机感染,而是通过精准的社工手段或钓鱼攻击,诱导开源贡献者下载带有恶意载荷的开发工具或依赖包。
一旦感染成功,Glassworm 会执行以下技术操作:
- 全方位凭证抓取: 重点扫描开发者电脑中的浏览器密码、SSH 密钥、Git 凭证以及 AWS/Azure 等云平台的访问令牌(Access Tokens)。
- 静默持久化: 恶意软件会利用各种系统技巧隐藏进程,并在后台持续监测开发者的输入,确保即便在系统重启后也能保持控制。
- 恶意软件推送: 作为僵尸网络的控制中心,Glassworm 能够随时向受感染的“肉鸡”分发第二阶段的攻击载荷,例如专门用于篡改代码仓库的复杂脚本。
影子服务器:监控与防御的幕后英雄
此次打击行动的成功,离不开 Shadowserver 的技术支持。作为一家专注于互联网扫描和攻击监测的非营利组织,Shadowserver 为谷歌和 CrowdStrike 提供了关键的全局数据。他们通过遍布全球的传感器,准确勾勒出了 Glassworm 僵尸网络的拓扑结构。
谷歌的一位安全工程师表示,Glassworm 的垮台并不意味着供应链攻击的终结,但这无疑是一次强有力的震慑。谷歌目前正投入大量资源提升开源生态的安全性,包括推广更严格的身份认证流程和自动化的代码审计工具,以保护那些为互联网基础设施贡献力量的开发者们。
对于广大开源开发者而言,Glassworm 事件是一个严肃的提醒:作为数字世界的建筑师,你们的工作站就是防御的最前线。加固工作环境、启用硬件密钥以及定期清理开发依赖,已不再是可选项,而是必须执行的“生存法则”。
本报道由 圈小蛙(qxwa.com) 科技资讯站特约撰稿。🐸️