-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
再び登場のGlassWormマルウェア、GitHub・npm・VSCode・OpenVSXのリポジトリ400件超を侵害
BleepingComputer – March 17, 2026
サプライチェーン侵害キャンペーン「GlassWorm」が、GitHub・npm上のパッケージ・リポジトリおよびVSCode/OpenVSX拡張機能を狙う新たな組織的攻撃として再来したという。Aikido、Socket、Step Security、OpenSourceMalwareの研究者らにより、GlassWorm関連の侵害されたコンポーネントが合計433件特定されている。
GlassWormは、2025年10月に初めてVSCode/OpenVSXマーケットプレイスで発見されたワームマルウェアによるキャンペーン。感染先のマシンからGitHubやnpm、OpenVSXアカウントの認証情報の窃取を試みるほか、さまざまな拡張機能から暗号資産ウォレットデータを盗み出そうとするマルウェアで、人間の目には見えない印刷不可能なUnicode文字を使用する点や、Shai Huludのような自己拡散性能を備える点などを特徴とする。その後11月から12月にかけて、同キャンペーンの第2〜4波が観測されていた。
そんなGlassWormの脅威が、2026年に再び襲来。Aikido Securityは3月13日、「GlassWormが返ってきた」として151件超のGitHubリポジトリおよびnpmパッケージが同マルウェアの標的になっていたことを報告した。また同日にSocketは、OpenVSXマーケットプレイスにおけるGlassWormキャンペーンについて伝える記事を公開し、72件の悪意あるVSCode拡張機能の存在を明らかにしている。加えて3月14日、Step Securityは「ForceMemo」と名付けられた新たなキャンペーンについて報告。このキャンペーンは、GlassWormマルウェアへの感染を通じてアカウントを乗っ取り、悪意あるコミットを強制プッシュして多数のPython GitHubリポジトリを侵害しようとするものだと説明されている。
OpenSourceMalwareが3月16日に公開した記事によれば、Aikido・Socket・Step Securityが個別に報告した上記のキャンペーンは、いずれも同一の脅威アクターによって実施されているという。この評価は、どのキャンペーンでもC2用に共通のSolanaアドレスが使用されていること、同じまたは似た機能を持つペイロードが使用されていること、インフラが共通していることなどを踏まえてなされている。またコードコメントの内容などから、ロシア語話者の脅威アクターによるキャンペーンであるとみられることも明かされた。
この最新のGlassWorm攻撃では影響範囲がそれまでの攻撃波と比べてかなり拡大しており、以下を含む合計433件超のコンポーネントが侵害されたという。
- GitHub Pythonリポジトリ:少なくとも200件
- GitHub JS/TSリポジトリ:少なくとも151件
- VSCode/OpenVSX拡張機能:72件
- npmパッケージ:少なくとも10件
OpenSourceMalwareによれば、今回のキャンペーンの特に巧妙な点は、攻撃者が最終的なペイロードは同一に保ちつつ、各エコシステムに合わせて難読化の手法をカスタマイズしていた点だとされる。
- npmパッケージ・GitHubリポジトリ:人間の目には見えないUnicode文字による難読化
- VSCode拡張機能:同様のUnicode文字による難読化
- Python GitHubリポジトリ:base64デコード、zlib解凍、XOR復号(鍵:134)という3つの層による難読化
OpenSourceMalwareはまた、Step Securityが報告したPythonキャンペーン(ForceMemo)では、以下のようなプルリクエストよりもステルス性の高い攻撃メソッドが使われている点に着目している。
- ①開発者GitHubアカウントを侵害
- ②最新の正当なコミットを取得
- ③悪意のあるPythonコードを追加してリベース
- ④履歴を上書きするためにフォースプッシュを実施
- ⑤元のコミットメッセージと作成者は保持
このように難読化手法に違いはあるものの、いずれの攻撃ベクターでも最終的なペイロードは同一だという。GlassWormはSolanaブロックチェーン(C2インフラ)へクエリを送り、Node.jsランタイムをダウンロードしてJavaScriptベースのインフォスティーラーを実行。このスティーラーは、暗号資産ウォレットデータ、認証情報、アクセストークン、SSH鍵、開発者環境データの窃取を試みる。
Pythonキャンペーン(ForceMemo)については3月14日時点でまだアクティブだったことから、Step SecurityはPythonパッケージをGitHubから直接インストールする開発者やクローンされたリポジトリを実行する開発者に対し、コードベースでマーカー変数「lzcdrtfxyqiplpd」を検索して侵害の兆候がないか調べることを推奨。加えて、~/init.jsonファイルの有無や、ホームディレクトリに予期せぬNode.jsのインスタレーションがないかについてシステムを精査することなども推奨されている。
【Eブック無料配布中:Codebook 2025 ~サイバーセキュリティ分析レポート~】
Codebookの記事が、Eブックになりました。サイバーセキュリティの2025年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。
無料ダウンロードはこちらから:
その他の無料配布中レポート
地政学レポート
【最新版】インテリジェンス要件定義に関するガイドブック
-300x200.png)
OSINT関連レポート
ディープ&ダークウェブレポート
