สรุปสั้น
CrowdStrike ร่วมกับ Google และ Shadowserver Foundation ประกาศการ takedown ครั้งใหญ่ต่อ GlassWorm มัลแวร์ที่โจมตี software developer ผ่าน supply chain มาตั้งแต่ต้นปี 2568 โดยปิด C2 infrastructure ทั้ง 4 ช่องพร้อมกันในคราวเดียว GlassWorm โดดเด่นด้วยความ resilient ของ C2 ที่ซ่อน server address ไว้บน Solana blockchain, BitTorrent DHT และ Google Calendar ทำให้ยากต่อการ takedown ตลอดช่วงที่ผ่านมา มัลแวร์แพร่กระจายผ่าน VS Code extension ปลอมบน Microsoft VS Code Marketplace และ Open VSX รวมถึง npm และ Python package ที่ฝัง malicious code ปนเปื้อน GitHub repository มากกว่า 300 แห่งด้วย credential ที่ขโมยมาจาก developer CrowdStrike ระบุว่ากลุ่มนี้น่าจะมีฐานอยู่ในรัสเซีย จากโค้ด comment ภาษารัสเซียและการหยุดทำงานบนระบบในกลุ่มประเทศ CIS
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 27 พฤษภาคม 2569 ว่า CrowdStrike ร่วมกับ Google และ Shadowserver Foundation ได้ประสานงาน takedown GlassWorm ซึ่งเป็น persistent supply chain campaign ที่กำหนดเป้าหมายเป็น developer โดยเฉพาะ GlassWorm เริ่มปรากฏตั้งแต่ต้นปี 2568 ด้วยการใช้ VS Code extension ที่ปลอมเป็นเครื่องมือพัฒนาซอฟต์แวร์ชื่อดัง ซึ่งถูก publish ทั้งบน Microsoft VS Code Marketplace และ Open VSX ทำให้ครอบคลุม VS Code fork อย่าง Cursor, Positron, Windsurf และ VSCodium ด้วย นอกจาก extension ยังมีการฝัง malicious code ใน npm และ Python package ด้วย payload หลักของ GlassWorm คือ data-theft framework ที่สามารถ harvest credentials, ดึง cryptocurrency wallet และ profile ระบบ เวอร์ชันต่อมาพัฒนา GlassWormRAT ซึ่งเป็น Websocket-based JavaScript RAT ที่ขโมยข้อมูลจาก web browser รันโค้ดตามต้องการ และติดตั้ง Chrome extension ที่ดักจับ screenshot, keystroke และ clipboard
รายละเอียดโครงสร้าง C2 ที่ซับซ้อน

สิ่งที่ทำให้ GlassWorm ต้านการ takedown ได้นานคือการใช้ C2 ถึง 4 ช่องแบบ parallel ไม่ให้ตกช่องทางไหนช่องทางเดียว ได้แก่ Solana blockchain โดยเก็บ C2 server address ไว้ใน memo field ของ transaction ซึ่ง public blockchain ไม่สามารถลบได้ BitTorrent DHT โดยซ่อน configuration data ใน peer-to-peer network ที่ไม่มีเจ้าของ Google Calendar โดยซ่อน C2 address ไว้ใน event title ของ calendar ปลอม และ VPS infrastructure แบบ direct connection ทั่วไป เมื่อเครื่องที่ถูก compromise เริ่มทำงาน จะสร้าง SOCKS proxy, HVNC server และ remote execution node เพื่อให้ผู้โจมตีใช้เป็น anonymized network access เข้าสู่เครือข่ายขององค์กร ซึ่งใช้ขโมย developer credentials จาก GitHub, NPM, OpenVSX token และ crypto wallet เพื่อนำไปปนเปื้อน repository และ package เพิ่มเติม
ผลกระทบต่อไทย
Developer ไทยที่ใช้ VS Code และ extension จาก marketplace รวมถึงผู้ที่ดาวน์โหลด npm หรือ Python package อาจตกเป็นเหยื่อโดยไม่รู้ตัวหากเคยติดตั้ง extension หรือ package ที่เป็นส่วนหนึ่งของแคมเปญ GlassWorm องค์กรที่มี developer ติดมัลแวร์จะมีความเสี่ยงสูงมาก เพราะ credential ของ developer ที่ขโมยได้สามารถนำไปเข้าถึง source code repository และ CI/CD pipeline ขององค์กรทั้งหมด บริษัทเทคโนโลยีและ software house ในไทยควรตรวจสอบ VS Code extension ที่ติดตั้งอยู่และ package ที่ใช้ในโปรเจกต์ทันที
คำแนะนำ
- ตรวจสอบ VS Code extension ทั้งหมด ที่ติดตั้งอยู่ และลบ extension ที่ไม่รู้จักหรือไม่ได้มาจาก publisher ที่น่าเชื่อถือ
- Audit npm และ Python package ในโปรเจกต์ว่ามี package ที่ถูก flag จาก GlassWorm IoC บ้างหรือไม่
- เปลี่ยน GitHub token, NPM token, OpenVSX token หากเคยใช้เครื่องที่อาจติดมัลแวร์
- ตรวจสอบ GitHub repository สำหรับ commit ที่ผิดปกติซึ่งอาจเป็นผลมาจาก stolen credentials
- ใช้ endpoint security ที่ตรวจจับ SOCKS proxy และ HVNC บนเครื่อง developer ได้
- ตรวจสอบ Chrome extension ที่ไม่ได้ติดตั้งเองว่ามีอยู่หรือไม่
