GlassWormマルウェア、GitHub悪用でPythonプロジェクト攻撃確認

ForceMemoキャンペーンの背景と目的

GlassWormと呼ばれるマルウェアが、GitHubアカウントを悪用し、Pythonリポジトリに不正コードを混入させる攻撃が確認された。この攻撃は、Djangoアプリや機械学習関連コード、PyPIパッケージ、Streamlitダッシュボードなど、複数のPythonプロジェクトを標的としている。

主な目的は、暗号資産の窃取や機密情報の取得とみられている。

攻撃手法と特徴

攻撃者は開発者の認証情報を窃取した後、リポジトリのメインブランチに対し、正規のコミットを基に不正コードを追加した上で強制的にプッシュする手口を用いている。特に「ForceMemo」と呼ばれるこの手法では、コミットメッセージやタイムスタンプが変更されないため、不審な変更として検知されにくい点が特徴とされる。

また、マルウェアは実行環境をチェックし、ロシア語設定のシステムを回避する挙動も確認されている。こうした挙動から、東欧系のサイバー犯罪との関連性が指摘されている。

Solanaブロックチェーンの悪用

攻撃者はSolanaブロックチェーン上のアドレスを利用し、取引メモを通じてマルウェア実行に必要なコマンドを取得している。このアドレスは2025年11月27日に初めて取引が確認され、これまでに約50件の取引が記録されている。

こうした動きは、攻撃者が複数の感染経路を試している可能性を示している。また、このアドレスは暗号資産関連の秘密鍵を保持しており、これを利用して暗号化されたJavaScriptペイロードをダウンロード・実行し、感染の持続性を確保しているとみられる。

GlassWormキャンペーンの拡大

GlassWormマルウェアは、2025年10月にVisual Studio開発者を標的としたサプライチェーン攻撃として初めて確認された。OpenVSXマーケットプレイスを通じて拡散され、約3万5,000回のダウンロードが記録されている。

その後、2026年1月末には別の手口で開発者アカウントを乗っ取り、2万2,000回以上ダウンロードされた拡張機能にマルウェアを仕込んだ形で再び配布されたことが確認されている。

持続的かつ大規模な攻撃の拡大

GlassWormキャンペーンはGitHubにとどまらず、NPMやVS Codeマーケットプレイスへと拡大し、複数の拡張機能を通じてマルウェアを拡散する手法が確認されている。今回の事例では、70件以上の拡張機能が関与していたことが明らかになっており、その多くはOpen VSXレジストリから削除された。

また、攻撃者は特定のマニフェストフィールドを悪用し、他の拡張機能を自動的に呼び出すことで、マルウェア拡張のインストールを誘導する仕組みを用いていたとされる。

今回のForceMemoおよびGlassWormキャンペーンは、開発者やプラットフォーム利用者に対し、ソフトウェア供給網におけるセキュリティ対策の重要性を改めて示すものとなった。専門家は、継続的な監視と迅速な対応体制の整備が不可欠であると指摘している。