OSS 開発者そのものを撃つ攻撃 #
CrowdStrike が Google・Shadowserver Foundation と共同で、ロシア系と見られるボットネット Glassworm を遮断した。標的は GitHub、OpenVSX、npm、PyPI といった開発者エコシステム全体で、VSCode/Cursor/Windsurf/VSCodium 用に時間管理ツール等を装った悪意ある拡張を配布、インストールした開発者の認証情報を窃取して 300 以上の GitHub リポジトリへ default branch を force push していた。下流の利用者まで波及する典型的なソフトウェア供給網汚染で、CIS 圏 (旧ソ連諸国) では自己終了する地理フィルタとロシア語コメントが帰属 (attribution) の手掛かりになっている。
Solana・Google カレンダー・DHT — 4 系統の C2 で takedown 耐性を最大化 #
技術的に異常なのは C2 (司令サーバ) の設計で、Glassworm は Solana ブロックチェーン、BitTorrent DHT、Google カレンダー、商用 VPS への直接接続 の 4 系統に司令経路を分散している。Solana に書き込まれた取引データは事実上書き換え不能で世界中の RPC ノードから読めるため、当局がサーバを差し押さえても情報配信は止まらない。Google カレンダーは「正規かつ高評価ドメイン」を悪用する典型例で、EDR や DNS フィルタが信頼してパスする。DHT もまた中央サーバを持たないため、削除すべき"住所"が存在しない。CrowdStrike が今回 sinkhole 用 IP (164.92.88.210) で吸い込みに成功した VPS チャネルは、4 つあるうちの 1 本に過ぎない。
Solana・Google カレンダー・DHT はいずれも「事業者が個別に潰せない」「ブロックリスト化すると業務に支障が出る」もの。防御側にとって最悪の組み合わせで、攻撃者は ROI ではなく回復力 (resilience) を最大化する設計に振り切っている。
OSS の信頼モデルが揺らぐ #
force push で書き換えられたリポジトリの利用者は、commit 履歴の改変を検知する仕組みを入れていなければ気付けない。Glassworm は OSS の根幹である「公開コードと依存はそのまま信頼してよい」という前提を逆手に取った攻撃で、EDR で個々の端末を守るだけでは止まらない。CI に署名検証 (Sigstore 等) と provenance チェック、依存ツリーの pinning、IDE 拡張の最小権限化を強制する運用に移すフェーズに来ている。今回の協調 takedown は対症療法に過ぎず、C2 を Web3 と正規 SaaS に分散させる潮流が続けば、次の Glassworm は来月にも出てくる。
COMMENTS 0
まだコメントはありません。最初のコメントを投稿しよう。