CrowdStrike は、Google や非営利団体 Shadowserver と協力して、ソフトウェア開発者を標的にしたサプライチェーン攻撃に使用されていた botnet「Glassworm」を停止させました。同チームはこの botnet による不正活動の妨害を目的とし、過去 2 年間にわたってオープンソースソフトウェアのサプライチェーンを標的にしてきたサイバー犯罪者への対応を完了しました。近年では複数のハッキンググループが、開発者やオープンソースプロジェクトを標的にし、悪意のあるソフトウェアを企業や組織に拡散させています。これらの攻撃は、GitHub などのプラットフォームにホストされたコードへの企業の信頼、および背後にある開発者への信頼を悪用した点で効果的です。CrowdStrike のレポートによると、敵対勢力は製品だけでなく、それを作成する開発者自体を標的にしており、単一の開発者のワークステーションが侵害されれば、サプライチェーン全体が脅かされ、数千もの下流組織やユーザーに影響が及びます。Glassworm 攻撃者は、開発者向けマルケットプレイスへの悪意ある拡張機能の公開、誤解を招くスポンサー検索結果によるマルウェアのダウンロード誘発（マルアドバータイジング）、および過去のハッキングで窃取した認証情報を用いた開発者アカウント乗っ取りという多様な戦略を採用しました。その結果、ハッカーらは 300 を超える GitHub コードリポジトリにウイルスを埋め込みました。CrowdStrike は Glassworm が使用した 4 つの指揮管理チャネルを停止させ、感染したコンピュータへのアクセスを遮断し、新たなマルウェアの配送を阻止することに成功しました。これらのサーバーは Solana ブロックチェーン、BitTorrent P2P ネットワーク、Google キャンデンダー、および仮想プライベートサーバーを基盤としていました。ただし、CrowdStrike などがこの停止作動に用いた法的または技術的な根拠については明確になっておらず、同社のスポークスマンも直ちにコメントしていません。先週、「Mini Shai-Hulud」と呼ばれる別のキャンペーンでは複数のオープンソースプロジェクトが侵害され、OpenAI の開発者も標的となりました。また今年 3 月には、推定される北朝鮮のハッカーが数百万人の開発者が使用する開発ツール「Axios」の乗っ取りを犯し、サプライチェーン攻撃が絶えず発生している状況が浮き彫りとなりました。