關閉選單
  1. Home
  2. NEWS最新消息
  3. 事件與威脅
顯示分類
2026.03.17
事件與威脅/資訊安全
開源供應鏈滲透與遠端控制木馬攻擊案例分析
  1. 前言

近年來,資訊安全威脅逐漸從傳統的終端入侵與網路攻擊,轉向 軟體供應鏈與開發者生態系統。攻擊者不再僅鎖定單一企業系統,而是透過入侵開源程式庫、開發工具與程式碼庫,藉由軟體依賴關係與開發流程擴散影響。近期多起事件顯示,攻擊者同時結合 供應鏈滲透、帳號憑證竊取與遠端控制惡意程式,形成具有高度隱蔽性與擴散能力的攻擊鏈。

本報告整理三起具有代表性的安全事件,包括 Glassworm 開源供應鏈攻擊、ForceMemo Python repository 入侵事件,以及 XWorm 與 Remcos RAT 惡意程式活動,並分析其攻擊手法與潛在影響。

  1. Glassworm 開源供應鏈攻擊事件
  • 事件概述

安全研究人員發現名為 Glassworm 的威脅活動在 2026 年初再次擴散,攻擊者透過 GitHub repository、npm 套件與 Visual Studio Code 延伸套件等開發者平台,植入惡意程式碼並竊取開發者憑證。研究顯示,至少 151 個 GitHub repository 在短時間內被植入惡意程式碼。

此攻擊活動利用高度隱蔽的程式碼注入技術,使惡意程式碼在程式碼審查過程中難以被發現,進而在開發者環境與 CI/CD 流程中持續傳播。

  • 主要攻擊技術

Glassworm 攻擊的核心特徵是 隱形程式碼注入技術。攻擊者利用 Unicode 私用區(Private Use Area)字元將惡意資料隱藏在程式碼中。這些字元在大多數程式碼編輯器中呈現為空白字元,使其在程式碼審查時幾乎不可見。

當程式執行時,隱藏的資料會被解碼並透過 eval() 函式執行,下載第二階段惡意程式。該惡意程式會與 Solana 區塊鏈基礎設施進行通訊,以取得命令控制(C2)指令與後續惡意程式。這種去中心化的控制方式使得惡意基礎設施難以被關閉或追蹤

  • 攻擊目標

Glassworm 主要鎖定 開發者工具與開源套件生態系統,包括:

―          GitHub repository

―          npm 套件

―          Visual Studio Code extension

―          開發框架與開發工具套件

攻擊者通常偽裝為正常的程式碼更新,例如版本升級或小幅重構,使惡意程式碼看起來與原始專案風格一致,增加偵測難度。

  1. ForceMemo Python Repository 入侵事件
  • 事件概述

在 Glassworm 攻擊活動之後,研究人員發現一個名為 ForceMemo 的後續攻擊行動。攻擊者利用先前 Glassworm 活動中竊取的 GitHub 憑證,登入大量開發者帳號並存取 Python repository。這些帳號入侵事件主要影響 Python 生態系中的開源專案,例如:

―          Django 應用程式

―          機器學習研究程式碼

―          PyPI 套件

―          Streamlit 應用程式

  • 攻擊方式

ForceMemo 攻擊的核心並非利用軟體漏洞,而是 憑證竊取與帳號接管。攻擊流程通常包含以下步驟:

―          利用 Glassworm 惡意程式竊取 GitHub 憑證

―          使用竊取的帳號登入 GitHub

―          存取或修改 repository

―          注入惡意程式碼或後門

攻擊者因此可能取得原始碼存取權限,並在程式碼中植入惡意內容。

  • 潛在影響

此類攻擊對軟體供應鏈安全具有重大影響,因為受害 repository 的程式碼可能被其他專案引用。一旦惡意程式碼被納入依賴套件中,可能導致:

―          惡意程式透過套件更新擴散

―          CI/CD pipeline 被植入惡意程式

―          企業系統執行受污染程式碼

―          敏感資料與智慧財產外洩

―          此外,開源專案的可信度也可能因此受到破壞。

  1. XWorm 與 Remcos RAT 惡意程式活動
  • 惡意程式概述

在另一類攻擊活動中,研究人員發現 XWorm 與 Remcos RAT 被用於入侵 Windows 系統並建立遠端控制能力。這些工具屬於遠端存取木馬(Remote Access Trojan, RAT),可讓攻擊者完全控制受害電腦。

XWorm 是一種高度模組化的惡意程式,支援多種外掛與功能,使其可用於資料竊取、鍵盤側錄與遠端操作等攻擊活動。

  • 攻擊技術

攻擊活動通常採用多階段入侵流程,例如:

―          利用惡意文件或漏洞(如 WinRAR 漏洞)投遞惡意程式

―          使用 PowerShell、VBS 或 MSBuild 等 Windows 工具執行惡意程式

―          建立持續性機制

―          與遠端 C2 伺服器通訊

部分攻擊活動會使用 Living-off-the-Land 技術,即利用合法系統工具執行惡意操作,以降低被偵測的機率。

  • 惡意程式能力

XWorm 與 Remcos RAT 通常具備以下功能:

―          遠端桌面控制

―          檔案管理與下載

―          鍵盤側錄

―          螢幕擷取

―          系統指令執行

一旦系統被感染,攻擊者可長期維持控制權,並將受害系統作為其他攻擊行動的跳板。

  1. 攻擊模式整體分析

綜合上述三起事件,可以觀察到當前網路攻擊的幾項重要趨勢:

  • 開發者生態系成為主要攻擊目標:GitHub、npm、PyPI 與開發工具已成為攻擊者的重要目標。透過污染開源專案,攻擊者可以影響大量企業與系統。
  • 憑證竊取與帳號接管風險增加:Glassworm 與 ForceMemo 攻擊顯示,攻擊者更傾向竊取帳號憑證,而非利用軟體漏洞。帳號安全已成為供應鏈安全的重要環節。
  • 惡意程式隱蔽性大幅提升:攻擊者利用 Unicode 隱藏字元、合法系統工具與區塊鏈基礎設施,使惡意活動更難被發現或關閉。
  • 供應鏈攻擊擴散能力極高:一個受污染的開源專案可能被數百或數千個專案引用,造成全球性影響。
  1. 結論

Glassworm、ForceMemo 與 XWorm / Remcos RAT 事件顯示,現代網路攻擊正逐步轉向 開發者工具鏈與軟體供應鏈。攻擊者透過隱蔽程式碼注入、帳號憑證竊取與遠端控制惡意程式,建立可長期運作且難以偵測的攻擊基礎設施。

這些攻擊活動不僅影響單一企業或系統,而可能透過開源生態系擴散至全球軟體供應鏈。對企業而言,開發者帳號安全、開源套件管理與軟體供應鏈監控,已成為資訊安全治理的重要議題。
 

資料來源:

https://hackread.com/xworm-7-1-remcos-rat-windows-tools-evade-detection/
https://www.securityweek.com/forcememo-python-repositories-compromised-in-glassworm-aftermath
https://thehackernews.com/2026/03/glassworm-attack-uses-stolen-github.html

XWorm 7.1 與 Glassworm 攻擊事件