탄탄한 C2 인프라 차단 후 Glassworm 봇넷 중단
소프트웨어 공급망 공격을 목표로 하는 개발자들을 노리는 Glassworm 봇넷이, 연구진이 탄력적인 명령‑제어(C2) 인프라를 차단하면서 중단되었습니다. 이 인프라는 Solana 블록체인 트랜잭션과 BitTorrent DHT 네트워크에 의존하고 있었습니다.
작전 개요
어제 진행된 협조 작전에서 CrowdStrike, Google, 그리고 The Shadowserver Foundation은 기존 차단 방식에 저항하도록 설계된 네 개의 별도 C2 채널에 대한 봇넷 운영자의 접근을 차단했습니다.
Glassworm 캠페인은 2025년 10월부터 지속되어 왔으며, 처음에는 악성 OpenVSX 및 Microsoft VS Code 확장 프로그램을 통해 암호화폐 지갑과 개발자 자격 증명을 탈취했습니다. 이후 공격 파동은 GitHub 저장소와 npm 패키지까지 확대되었으며, 2026년 3월에 진행된 한 캠페인에서는 400개 이상의 소프트웨어 아티팩트가 영향을 받았습니다.
가장 최근의 공격에서는 Glassworm 운영자가 OpenVSX에 수십 개의 휴면 확장 프로그램을 심어두고, 업데이트가 이루어질 때 악성 구성 요소가 활성화되도록 했습니다.
탄력적인 C2 인프라
Glassworm 위협이 오랫동안 살아남을 수 있었던 이유 중 하나는 전통적이지 않은 통신 채널에 의존하는 C2 인프라 때문입니다. 이러한 채널은 차단하기가 매우 어렵습니다.
“블록체인, 피어‑투‑피어, 그리고 합법적인 웹 서비스를 결합한 해결 계층은 차단에 대비해 설계되었습니다 — 다중 레이어의 우회 경로 뒤에 실제 C2 서버를 보호하는 동적인 방어선입니다.” – CrowdStrike
연구진은 동시에 차단해야 할 네 개의 C2 채널을 확인했습니다:
- Solana 블록체인 – C2 서버 주소가 블록체인 트랜잭션의 메모 필드에 인코딩되어, 불변하고 공개적으로 접근 가능한 드롭박스를 형성합니다.
- BitTorrent 분산 해시 테이블(DHT) – GlasswormRAT은 하드코딩된 공개 키에 저장된 구성 데이터를 얻기 위해 BitTorrent 피어‑투‑피어 네트워크를 조회합니다.
- 공개 캘린더 서비스 – Google Calendar 이벤트 제목이 Base64‑인코딩된 C2 경로의 드롭 위치로 사용됩니다.
- 직접 서버 연결 – 상업용 VPS 제공업체에 호스팅된 전통적인 C2 인프라가 최종 페이로드 전달 메커니즘으로 작동합니다.
Glassworm 명령 및 제어 아키텍처
출처: CrowdStrike
이러한 구조 때문에 단일 채널만 차단해도 큰 영향을 주지 못합니다. 통신은 다른 채널로 전환될 수 있어 위협 행위자는 제어를 유지할 수 있습니다.
“네 개의 채널을 모두 동시에 차단해야 했습니다. 그 결과 감염된 머신은 더 이상 새로운 명령이나 페이로드를 받을 수 없습니다.” – CrowdStrike
감염 지표 및 복구 방안
차단 이후 Glassworm 공격에 감염된 모든 머신은 CrowdStrike가 운영하는 IP 주소 164.92.88[.]210 로 비콘을 전송하고 있습니다. 조직에서는 다음 조치를 취해야 합니다:
- 해당 IP 주소로의 네트워크 트래픽을 모니터링하고 차단합니다.
- 공개된 YARA 규칙을 배포해 의심되는 호스트에서 Glassworm 감염을 탐지합니다.
- 알려진 Glassworm 아티팩트와 일치하는 의심스러운 OpenVSX, VS Code, GitHub, npm 확장 프로그램을 검토하고 제거합니다.