GlassWorm蠕蟲活動持續蔓延，駭客利用竊得的GitHub權杖將惡意軟體推送到Python儲存庫

資安公司StepSecurity揭露名為ForceMemo的供應鏈攻擊行動，駭客入侵開發者帳號，已在數百個GitHub上的Python專案植入惡意程式，且攻擊活動仍在持續擴大。這波攻擊最早可追溯至2026年3月8日，攻擊者取得開發者帳號存取權限，對程式庫進行大規模竄改，將惡意程式碼植入多個專案。而這些受害的開發者存在共通點，就是他們的開發環境感染了GlassWorm，攻擊者以此竊得GitHub權杖（Token）而得逞。

值得留意的是，駭客並未採用傳統提交方式，而是使用Git的強制推送（Force-push）機制，將惡意程式附加至既有程式碼並覆寫版本記錄。這種作法會保留原本的提交資訊、作者，以及時間，使變更幾乎難以從GitHub介面察覺，大幅提高隱匿性。

本次攻擊主要鎖定Python專案，包括Django應用程式、機器學習程式碼、Streamlit應用與各類開源套件。惡意程式通常被插入setup.py、main.py或app.py等重要檔案，一旦開發者執行或透過pip install安裝，即會觸發惡意行為。

而且，這些惡意程式碼經過混淆，以Base64編碼處理，執行後會連線至C2基礎設施下載後續負載。值得注意的是，攻擊者利用Solana區塊鏈交易備註作為C2通道，動態提供惡意程式下載位置，增加偵測與阻斷難度。

整體而言，ForceMemo的最大特點在於其供應鏈污染手法。由於攻擊直接發生在開發者帳號與原始碼庫，一旦專案被信任並廣泛使用，惡意程式就可能擴散至更多下游系統與企業環境。