這篇文章將透過近期被瓦解的 GlassWorm 惡意軟體行動,為工程師分析一種極具威脅的攻擊模式:開發者供應鏈攻擊。對於許多開發者來說,安裝一個 VS Code 插件或 npm 套件是日常操作,但 GlassWorm 證明了這些信任鏈條如何被利用來滲透整個企業網路。
什麼是開發者供應鏈攻擊
傳統的供應鏈攻擊可能是針對最終產品,但開發者供應鏈攻擊則是將目標鎖定在生產軟體的開發者身上。攻擊者意識到,開發者的工作站擁有極高權限,通常持有 GitHub 存取權限、雲端平台金鑰、CI/CD 流水線(自動化構建與部署系統)以及套件管理權限。
如果攻擊者能控制一台開發機,他們不需要攻擊數千家公司,只需要透過這台機器將惡意代碼植入一個被廣泛使用的開源套件或擴充功能中,就能讓所有下載該套件的下游用戶全部中招。這種以一點破面的放大效應,使得開發環境成為目前最高價值的攻擊目標。
GlassWorm 的入侵路徑與手段
GlassWorm 採取的是多管齊下的滲透策略,主要透過以下三種管道傳播:
首先是 IDE 擴充功能。他們在 Microsoft VS Code Marketplace 和 Open VSX 上發布偽裝成正常功能的惡意插件。由於許多開發者使用基於 VS Code 核心的衍生編輯器(例如 Cursor、Windsurf 或 VSCodium),這些插件同樣能對這些用戶生效。
其次是套件管理器。透過在 npm 和 Python 的套件倉庫中植入惡意代碼,讓開發者在執行安裝指令時無意中將木馬引入系統。
一旦進入系統,GlassWorm 會部署一個名為 GlassWormRAT 的 JavaScript 遠端存取木馬(RAT, Remote Access Trojan)。這類工具允許攻擊者遠端操控受害機器,其具體行為包括:
竊取憑證:搜尋系統中的 GitHub Token、NPM 權限金鑰以及加密貨幣錢包。 監控行為:安裝 Chrome 擴充功能來截圖、記錄鍵盤輸入(Keystrokes)以及讀取剪貼簿內容。 建立跳板:將受感染的機器轉化為 SOCKS 代理伺服器或隱藏的 VNC 遠端桌面伺服器,讓攻擊者能以開發機為掩護,匿名地滲透進公司內網。
極具韌性的 C2 指令控制架構
這起案件最令資安專家關注的是其 C2(Command and Control,指令與控制)通道的設計。通常惡意軟體會連接到一個固定域名,一旦該域名被封鎖,木馬就失效。但 GlassWorm 為了防止被瓦解,設計了四層冗餘的通訊機制:
第一層是利用 Solana 區塊鏈。攻擊者將 C2 伺服器的地址寫在區塊鏈交易的備註欄中。由於區塊鏈不可篡改且公開,木馬可以隨時從鏈上讀取最新的伺服器地址。
第二層是 BitTorrent DHT 網路。利用 P2P 分散式雜湊表(DHT)來獲取配置數據,避免依賴單一中心伺服器。
第三層是 Google 日曆。將 C2 地址隱藏在日曆事件的標題中,利用合法的大型雲端服務來規避防火牆的偵測。
第四層則是傳統的商業 VPS 伺服器直接連線。
這種混合了區塊鏈、P2P 與合法 Web 服務的設計,讓 GlassWorm 擁有極強的生存能力。直到 CrowdStrike、Google 與 Shadowserver Foundation 協同合作,才得以同時切斷這四個通道,徹底瓦解其運作。
對工程師的實務啟示
GlassWorm 的案例提醒我們,開發環境的安全性不能僅依賴於公司內網的防火牆。
首先,請謹慎選擇 IDE 插件與第三方套件。在安裝之前,檢查該插件的下載量、維護紀錄以及社群評價。避免安裝來源不明或更新頻率異常的工具。
其次,實行最小權限原則。不要在開發機上長期儲存具有高權限的永久性 Token。建議使用短期有效的臨時憑證,或使用硬體金鑰(如 YubiKey)來保護 GitHub 與雲端平台的存取權。
最後,意識到開發機就是生產環境的一部分。當你的工作站被攻破,你所貢獻的所有代碼庫、部署的流水線以及所有下游用戶都處於風險之中。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。