针对开发者的 Glassworm 僵尸网络在对其弹性的命令与控制（C2）基础设施进行协调打击后被瓦解。此次行动由 CrowdStrike、Google 和 Shadowserver 基金会执行，同时切断了四个旨在抵抗常规破坏的独特 C2 信道。Glassworm 活动始于 2025 年 10 月，最初部署恶意 OpenVSX 和 Microsoft VS Code 扩展以窃取加密货币钱包和凭证。后来的攻击扩展到 GitHub 仓库和 npm 包，3 月的一场活动影响了 400 多个软件制品。该僵尸网络的 C2 基础设施依赖非传统渠道：Solana 区块链交易（服务器地址编码在备忘录字段中）、BitTorrent DHT 网络（用于配置数据）、Google 日历事件标题（作为 Base64 编码路径的投递点）以及直接服务器连接。这种多信道架构要求同时破坏以防止切换到替代信道。打击后，受感染机器现在向 CrowdStrike 运营的 IP 地址发送信标，建议组织检查此指标并使用提供的 YARA 规则进行修复。

关键事实

• 通过协调打击四个 C2 信道摧毁 Glassworm 僵尸网络
• C2 使用了 Solana 区块链、BitTorrent DHT、Google 日历和直接服务器
• 自 2025 年 10 月起通过 VS Code 和 OpenVSX 扩展针对开发者
• 2025 年 3 月攻击影响了 GitHub 和 npm 上 400 多个软件制品
• 受感染机器现在向 CrowdStrike IP 发送信标；发布了 YARA 规则

KeyAudit 数据视角