ปฏิบัติการในวันที่ 26 พฤษภาคม 2026 นำโดย CrowdStrike, Google และมูลนิธิ Shadowserver ได้ปิดการใช้งานช่องทางควบคุม 4 ช่องทางของบอตเน็ต Glassworm พร้อมกัน ซึ่งรวมถึงการใช้ธุรกรรมบนบล็อกเชน Solana และ BitTorrent DHT ทำให... ผู้ควบคุมบอตเน็ต Glassworm ได้สร้างสถาปัตยกรรมควบคุมที่ยืดหยุ่นสูง ประกอบด้วย 4 ช่องทาง ได้แก่ S...

Create a landscape editorial hero image for this Studio Global article: What happened during CrowdStrike's coordinated takedown of the "unkillable" Glassworm botnet, which had been targeting software developers s. Article summary: On May 26, 2026, at 14:00 UTC, CrowdStrike's Counter Adversary Operations team, working with Google and the Shadowserver Foundation, executed a coordinated takedown of the Glassworm botnet by simultaneously disrupting al. Topic tags: general, general web. Reference image context from search candidates: Reference image 1: visual subject "# CrowdStrike, Google, and Shadowserver dismantle "unkillable" Glassworm botnet targeting software developers. CrowdStrike, Google, and Shadowserver dismantle. In a coordinated tak" source context "CrowdStrike, Google, and Shadowserver dismantle "unkillable ..." Reference image 2: visual subject "Abstract image of robots working
การปลดระวางบอตเน็ต Glassworm เมื่อวันที่ 26 พฤษภาคม 2026 ถือเป็นหนึ่งในความสำเร็จครั้งสำคัญในปฏิบัติการไซเบอร์เพื่อรับมือกับภัยคุกคามที่มุ่งเป้าไปยังห่วงโซ่อุปทานซอฟต์แวร์ ทีมปฏิบัติการตอบโต้ศัตรู (Counter Adversary Operations) ของ CrowdStrike โดยความร่วมมือกับ Google และมูลนิธิ Shadowserver ที่ไม่แสวงหาผลกำไร ได้ดำเนินการขัดขวางสถาปัตยกรรมของบอตเน็ตที่ถูกออกแบบมาโดยเจตนาให้ไม่สามารถโค่นล้มได้ด้วยวิธีปกติ
บอตเน็ต Glassworm ที่ปฏิบัติการมาตั้งแต่ต้นปี 2025 ไม่ใช่บอตเน็ตทั่วไปที่มุ่งล่าอุปกรณ์ตามบ้านเรือน แต่มันพุ่งเป้าไปที่ นักพัฒนาซอฟต์แวร์ โดยใช้เครื่องมือที่พวกเขาไว้วางใจเป็นอาวุธ ผู้โจมตีได้แพร่กระจายมัลแวร์ผ่าน 3 เส้นทางหลัก ได้แก่ การแทรกซึมคลังข้อมูล GitHub กว่า 300 แห่ง, การบิดเบือนส่วนขยายใน Visual Studio Code, และการปลอมแปลงแพ็กเกจบนระบบ npm และดัชนีแพ็กเกจของ Python
แนวทางการโจมตีที่ซัพพลายเชนเช่นนี้ทำให้มัลแวร์สามารถทำงานได้บนระบบปฏิบัติการ Windows, macOS และ Linux เป้าหมายสูงสุดคือการติดตั้ง GlasswormRAT ซึ่งเป็นเครื่องมือควบคุมระยะไกลแบบ Node.js ที่สามารถขโมยข้อมูลรับรอง, บันทึกการกดแป้นพิมพ์, และขโมยข้อมูล เพื่อเปลี่ยนเครื่องของนักพัฒนาให้กลายเป็นฐานปล่อยการโจมตีต่อไปยังระบบอื่นๆ
สิ่งที่ทำให้ Glassworm มีความยืดหยุ่นเหนือกว่าบอตเน็ตอื่นๆ คือโครงสร้างพื้นฐานของการสั่งการและควบคุม (C2) แบบหลายช่องทาง ผู้ควบคุมบอตเน็ตตั้งใจหลีกเลี่ยงจุดอ่อนที่จะทำให้ระบบทั้งหมดล่ม โดยกระจายการสื่อสารผ่าน 4 ช่องทางที่แตกต่างกันและทำงานทดแทนกันได้
สถาปัตยกรรมหลายชั้นนี้เองที่เป็นหัวใจสำคัญที่ทำให้บอตเน็ตนี้ 'ไม่มีวันตาย' การโค่นช่องทางใดช่องทางหนึ่งหรือสองช่องทางลงได้ ก็จะไร้ผล เพราะช่องทางที่เหลือยังทำงานได้เต็มประสิทธิภาพ ทำให้ผู้ควบคุมสามารถกู้คืนการควบคุมได้อย่างรวดเร็ว
หนทางเดียวที่จะทำลายระบบนี้ได้คือ การโจมตีช่องทาง C2 ทั้งหมดพร้อมกัน CrowdStrike อธิบายความท้าทายไว้อย่างชัดเจนว่า "การขัดขวางสถาปัตยกรรมนี้ต้องการทั้งความแม่นยำและจังหวะเวลา การโค่นเพียงแค่ช่องทางเดียวจะมีผลทำให้ช่องทางอื่นๆ ยังคงทำงานต่อไปได้ ซึ่งผู้ควบคุมสามารถกู้คืนระบบได้อย่างรวดเร็ว"
ในเวลา 14:00 UTC ของวันที่ 26 พฤษภาคม แนวร่วมพันธมิตรได้ปฏิบัติการที่ถูกคำนวณเวลาอย่างดี เพื่อตัดการเชื่อมต่อระหว่างผู้ควบคุมบอตเน็ตและเครือข่ายเครื่องจักรที่ติดเชื้อทั่วโลก การกระทำนี้ไม่ได้ลบมัลแวร์ GlasswormRAT ออกจากเครื่องปลายทางที่ติดเชื้อโดยอัตโนมัติ แต่มันได้ปิดกั้นความสามารถของผู้ควบคุมในการออกคำสั่งใหม่ๆ หรือส่งมัลแวร์เพิ่มเติม
ปฏิบัติการนี้ทำให้ขีดความสามารถในการโจมตีของบอตเน็ตสิ้นฤทธิ์ลง แม้ว่าตัวมัลแวร์จะยังคงหลบซ่อนอยู่ในเครื่องที่ติดเชื้อทั่วโลกอีกจำนวนเท่าใดก็ไม่อาจทราบได้
จากการประเมินโดย CrowdStrike ปฏิบัติการ Glassworm มีที่มาจากกลุ่มอาชญากรไซเบอร์ที่อาจมีฐานอยู่ใน รัสเซีย การที่กลุ่มนี้มุ่งเป้าไปที่ห่วงโซ่อุปทานของซอฟต์แวร์โอเพนซอร์สเป็นการยกระดับกลยุทธ์ของภัยคุกคามครั้งสำคัญ จากเดิมที่เน้นโจมตีองค์กรผู้ใช้ปลายทาง มาเป็นการโจมตีตั้งแต่ต้นทางคือนักพัฒนาและเครื่องมือที่องค์กรต่างๆ ใช้งาน ซึ่งเป็นช่องโหว่ที่สร้างความเสียหายในวงกว้างได้อย่างมหาศาล
การปลดระวางครั้งนี้เป็นชัยชนะในเชิงตั้งรับที่สำคัญ แต่มันไม่ใช่ยารักษา CrowdStrike ได้แนะนำขั้นตอนการแก้ไขที่ชัดเจนให้กับองค์กรต่างๆ เพื่อค้นหาและชำระล้างระบบที่ติดเชื้อ
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
ปฏิบัติการในวันที่ 26 พฤษภาคม 2026 นำโดย CrowdStrike, Google และมูลนิธิ Shadowserver ได้ปิดการใช้งานช่องทางควบคุม 4 ช่องทางของบอตเน็ต Glassworm พร้อมกัน ซึ่งรวมถึงการใช้ธุรกรรมบนบล็อกเชน Solana และ BitTorrent DHT ทำให...
ปฏิบัติการในวันที่ 26 พฤษภาคม 2026 นำโดย CrowdStrike, Google และมูลนิธิ Shadowserver ได้ปิดการใช้งานช่องทางควบคุม 4 ช่องทางของบอตเน็ต Glassworm พร้อมกัน ซึ่งรวมถึงการใช้ธุรกรรมบนบล็อกเชน Solana และ BitTorrent DHT ทำให... ผู้ควบคุมบอตเน็ต Glassworm ได้สร้างสถาปัตยกรรมควบคุมที่ยืดหยุ่นสูง ประกอบด้วย 4 ช่องทาง ได้แก่ Solana, BitTorrent, Google Calendar และเซิร์ฟเวอร์ VPS เพื่อให้การปิดช่องทางใดช่องทางหนึ่งไร้ผล พันธมิตรจึงต้องโจมตีพร้อมก...
CrowdStrike แนะนำให้องค์กรต่างๆ สแกนหามัลแวร์ GlasswormRAT ผ่านแพลตฟอร์ม Falcon ตรวจสอบบันทึกการเชื่อมต่อไปยังไอพีเฉพาะ และรีบิลด์เครื่องที่ติดเชื้อทั้งหมดจากอิมเมจที่ปลอดภัย [11]