GlassWormマルウェア
GlassWormマルウェアの新たな波が、盗まれたGitHubトークンを悪用して数百ものリポジトリに悪意のあるコードを注入することで、ソフトウェアサプライチェーンを積極的に標的にしている。この攻撃は主に、Djangoアプリケーション、機械学習研究コード、Streamlitダッシュボード、PyPIパッケージなど、Pythonベースのプロジェクトに焦点を当てている。
攻撃手法は一見単純ながら非常に効果的です。難読化されたマルウェアが、setup.py、main.py、app.pyといった一般的に実行されるファイルに付加されます。pip installで依存関係をインストールしたり、侵害されたリポジトリからクローンされたコードを実行したりする開発者は、知らず知らずのうちに悪意のあるペイロードを起動してしまうことになります。
目次
サイレントリポジトリ乗っ取り:ForceMemoテクニック
このキャンペーンの進化版であるForceMemoは、リポジトリを侵害する巧妙な手法を導入しています。攻撃者は、従来の痕跡を残さずに開発者アカウントにアクセスし、リポジトリを操作することができます。
攻撃者は、正当なコミットを悪意のあるコードでリベースし、デフォルトブランチに強制プッシュすることで、メッセージ、作成者、タイムスタンプなどの元のコミットメタデータを保持し、侵入を効果的に隠蔽します。この手法により、プルリクエストや不審なコミット履歴といった目に見える兆候が排除されるため、検出が著しく困難になります。
攻撃実行チェーン:認証情報の窃盗からペイロードの配信まで
ForceMemoキャンペーンは、構造化された多段階の侵入プロセスに従います。
- 開発者環境は、まず最初に、GitHubトークンなどの機密性の高い認証情報を収集するように設計されたGlassWormコンポーネントを搭載した悪意のあるVisual Studio CodeおよびCursor拡張機能によって侵害されます。
- 盗まれた認証情報は、侵害されたアカウントに関連付けられたすべてのリポジトリにあるPythonファイルに、難読化されたBase64エンコードのペイロードを挿入するために使用されます。
- 埋め込まれたマルウェアは環境チェックを実行し、特にロシア語ロケールが設定されたシステムでの実行を回避します。その後、Solanaブロックチェーンウォレットに問い合わせて、ペイロード配信URLを動的に取得します。
- 追加のペイロードがダウンロードされ、その中には暗号通貨の窃盗やデータ漏洩を目的とした暗号化されたJavaScriptが含まれている。
ブロックチェーンベースの指揮統制:強靭なインフラストラクチャ
この攻撃キャンペーンの特徴は、コマンド&コントロール(C2)メカニズムとしてSolanaブロックチェーンに依存している点です。攻撃者は従来のサーバーではなく、特定のウォレットアドレスに関連付けられたトランザクションメモフィールドにペイロードのURLを保存します。
分析の結果、メインウォレットに関連する活動は、リポジトリの侵害が確認される数か月前の2025年11月27日にはすでに始まっていたことが明らかになった。このウォレットは数十件のトランザクションを処理しており、ペイロードの場所は頻繁に、時には1日に複数回更新されていた。このような分散型のアプローチは、システムの回復力を高める一方で、システム停止の試みを困難にしている。
攻撃対象領域の拡大:npmとクロスエコシステム感染
この攻撃はPythonのエコシステムにとどまらず、JavaScriptのサプライチェーンにも及んでいます。React Nativeのnpmパッケージであるreact-native-international-phone-number(バージョン0.11.8)とreact-native-country-select(バージョン0.3.91)が一時的に侵害され、マルウェアが埋め込まれた状態で配布されました。
これらの悪意のあるバージョンは、難読化されたJavaScriptを実行するプリインストールフックを導入し、同様の感染連鎖を開始させます。このマルウェアは今回もロシアのシステムを回避し、Solanaウォレットを介してペイロード命令を取得し、プラットフォーム固有の脅威を展開します。
実行はeval()やNode.jsのサンドボックス化などのランタイム技術を用いて完全にメモリ内で行われるため、フォレンジック調査で残る痕跡は最小限に抑えられます。さらに、タイムスタンプをローカルに保存することで、48時間以内の再感染を防ぐ永続化メカニズムが採用されています。
高度な回避および分散戦術
GlassWormの最近のバージョンでは、配信と隠蔽の手法が高度化していることが明らかになっています。攻撃者はextensionPackとextensionDependenciesのメカニズムを利用することで、信頼できる拡張機能エコシステムを通じて悪意のあるペイロードを段階的に拡散します。
以前に行われた同一の攻撃者による攻撃では、目に見えないUnicode文字を用いて悪意のあるコードを隠蔽し、151以上のGitHubリポジトリが侵害された。難読化や配信戦略は様々であったものの、全ての攻撃は一貫して同じSolanaベースのインフラストラクチャに依存しており、統一された運用フレームワークの存在が確認された。
悪意のあるIDE拡張機能:開発者環境を標的とする
このキャンペーンは、Windsurf IDEを標的とした、reditorsupporter.r-vscode-2.8.8-universalという不正な拡張機能を通じて、開発ツールにも侵入している。R言語サポートプラグインを装ったこの拡張機能は、Node.jsベースの情報窃盗プログラムを展開する。
インストール後、この拡張機能はブロックチェーン取引から暗号化されたペイロードを取得し、メモリ上で実行した後、コンパイル済みのコンポーネントを展開してChromiumベースのブラウザから機密データを抽出します。永続性は、スケジュールされたタスクとWindowsレジストリの変更によって実現され、システム起動時に確実に実行されます。
このマルウェアは、ロシアのシステムを除外しつつ、開発者環境を特に標的としており、他のGlassWorm亜種で観察された挙動と類似している。
規模と影響の指標
セキュリティ分析によると、今回の攻撃キャンペーンはオープンソースのエコシステムのかなりの部分に影響を与え、複数のプラットフォームにわたる433以上のプロジェクトに影響を及ぼしている。これには、GitHubリポジトリ(PythonおよびJavaScript)、VS Code拡張機能、npmライブラリなどが含まれる。
すべての感染経路は最終的にJavaScriptベースの情報窃盗マルウェアの展開へと収束し、認証情報の収集とデータ漏洩という一貫した最終目標を浮き彫りにしている。
- 433件以上のプロジェクトとパッケージが侵害されたことが確認されています。
- GitHub、npm、IDE拡張機能など、複数の配信方法に対応
- ペイロード配信のためのSolanaブロックチェーンインフラストラクチャの一貫した利用
- 全てのバリエーションにおいてロシア製システムが繰り返し排除されている。
戦略的評価:サプライチェーン攻撃の新時代
ForceMemoキャンペーンは、ソフトウェアサプライチェーンにおける脅威の著しいエスカレーションを示すものです。巧妙なGit履歴操作、ブロックチェーンベースのC2インフラストラクチャ、そしてクロスプラットフォーム感染経路の組み合わせは、高度な運用成熟度を示しています。
インフラストラクチャの再利用と進化する配信メカニズムは、持続性と回避性を維持しながら攻撃を大規模化できる適応力の高い攻撃者の存在を示唆している。孤立した侵害から、協調的な複数エコシステムへの侵入へと移行するこの変化は、現代の開発環境とオープンソースコミュニティが直面するリスクの増大を浮き彫りにしている。
