堆代码讯 近日，网络安全领域迎来一次关键攻坚成果。网络安全企业CrowdStrike联合谷歌，以及专注于互联网网络攻击扫描与监控的非营利组织Shadowserver展开协同行动，成功捣毁了名为Glassworm的恶意僵尸网络，精准打击了一批长期觊觎开源软件生态的网络犯罪分子，有效遏制了针对开源开发者的恶意攻击蔓延态势。

据CrowdStrike官方披露，本次专项清除行动的核心目标，是彻底瓦解Glassworm僵尸网络背后犯罪团伙的作恶能力。该黑客组织的攻击轨迹清晰且极具针对性，在过去两年间，持续将整个开源软件供应链作为核心攻击目标，潜伏渗透、持续布局，对全球开源生态的安全稳定造成了极大威胁。

近年来，开源软件凭借开放共享、便捷高效的优势，成为全球企业、机构软件开发的重要基础，GitHub等开源平台更是汇聚了海量开发者与优质代码资源。但随之而来的是，开源生态已然成为黑客组织的重点攻坚领域。近数月来，多个黑客团伙集中瞄准开源开发者与各类开源项目，试图通过植入恶意代码、篡改开源程序等方式，向所有使用相关软件的下游企业和组织渗透恶意程序。这类供应链攻击的核心突破口，是利用了各界对开源平台代码资源、开源开发者的天然信任，凭借信任漏洞规避常规安全检测，攻击隐蔽性强、波及范围极广。

CrowdStrike在行动报告中精准剖析了当下网络攻击的全新趋势，指出黑客的攻击逻辑已发生根本性转变：“攻击者不再局限于针对终端产品发起攻击，而是将矛头转向核心的开发者群体。开发者是网络安全中极具价值的攻击目标，一旦黑客入侵开发者的工作站，便能触发供应链连锁安全事故，层层传导之下，数千个下游组织与终端用户都会受到牵连，引发大规模安全风险。”这一变化，也意味着开源供应链安全的防御重心，从产品防护转向了开发者与开发全流程防护。

为实现大规模渗透，Glassworm黑客团伙搭建了多元化、立体化的恶意传播体系，通过多种隐蔽手段扩散恶意代码。其一，瞄准开发者常用的应用市场，上架各类伪装的恶意扩展程序，诱导开发者下载安装；其二，借助恶意广告投放实施攻击，通过购买搜索引擎付费置顶结果，伪造正规软件下载入口，诱骗受害者下载搭载病毒的恶意软件；其三，复用过往攻击中窃取的开发者账号凭证，非法劫持正规开发者账户，悄无声息地在合规开源代码中植入恶意程序。多重攻击手段叠加之下，该团伙最终成功“毒化”超300个GitHub代码仓库，埋下大量安全隐患。

在本次联合行动中，三方团队精准发力，成功关停了Glassworm僵尸网络赖以生存的四个命令与控制通道。这一关键操作直接切断了黑客与受感染设备的远程连接权限，彻底阻断了其持续推送恶意软件、操控受感染设备的渠道，从核心层面终止了该团伙的持续作恶能力。值得关注的是，该僵尸网络的命令与控制服务器架构极为隐蔽复杂，并非依托单一服务器运行，而是混搭依托Solana区块链、BitTorrent点对点网络、谷歌日历以及虚拟专用服务器等多类平台搭建，极大提升了溯源与打击难度，也凸显了本次攻坚行动的技术难度与重要价值。

不过，本次联合清除行动仍留有诸多待解疑问。目前，外界尚未明确CrowdStrike及合作方开展此次跨境网络安全打击行动的法律依据与技术授权。当科技媒体TechCrunch就此发起问询时，CrowdStrike发言人Kirsten Speas表示，仅以公司官方博客发布内容为准，拒绝作出额外回应。

事实上，Glassworm攻击并非近期唯一的开源供应链安全事件，全球开源生态正遭遇密集的针对性攻击，安全形势愈发严峻。就在本次行动前夕，一场名为“Mini Shai-Hulud”的黑客攻击活动爆发，攻击者攻破多个正规开源项目，推送携带恶意程序的软件更新版本，甚至有两名OpenAI开发者的账号遭到入侵。而在今年3月，疑似朝鲜黑客团伙发起供应链攻击，成功劫持了全球数百万开发者依赖的开源开发工具Axios，波及海量开发项目与下游企业。

一系列频发的攻击事件，为全球开源行业敲响了警钟。开源软件的开放性与共享性铸就了行业繁荣，但也带来了天然的安全短板。针对开发者的定向攻击、供应链链式渗透、多平台隐蔽控网等新型攻击模式，正在突破传统网络安全防御体系。此次Glassworm僵尸网络的覆灭，是开源生态联防联控的一次成功实践，但也仅是开源安全防御工作的一环。未来，企业、平台、安全机构需进一步构建协同防御机制，强化开源代码审核、开发者账号防护、供应链全链路监测，全方位筑牢开源软件供应链的安全屏障。