CrowdStrike та Google ліквідували ботнет Glassworm, що атакував розробників з відкритим кодом
- CrowdStrike з Google та Shadowserver ліквідували ботнет Glassworm для атак на розробників.
- Хакери цілилися в ланцюжок постачання ПЗ з відкритим кодом протягом двох років.
- Злодії отруїли понад 300 репозиторіїв GitHub через шкідливі розширення та малвертайзінг.
- Ліквідовано чотири канали командування на базі Solana, BitTorrent, Google Calendar та VPS.
- Останніми місяцями були й інші атаки на відкритий код, включаючи «Mini Shai-Hulud» та Axios.
CrowdStrike разом із Google та Shadowserver ліквідували ботнет Glassworm, який кіберзлочинці використовували для розповсюдження шкідливого ПЗ та викрадення паролів розробників програмного забезпечення з відкритим кодом. Як повідомляє TechCrunch, операція з ліквідації мала на меті порушити діяльність кіберзлочинців за ботнетом Glassworm, які цілилися в ланцюжок постачання програмного забезпечення з відкритим кодом протягом двох років.
Останніми місяцями кілька хакерських груп націлювалися на розробників та проекти з відкритим кодом для розповсюдження шкідливого ПЗ компаніям та організаціям, які використовують це програмне забезпечення. Ці атаки ефективні, бо експлуатують довіру компаній до коду на платформах на кшталт GitHub та працівників за цим кодом.
«Супротивники більше ціляться не лише в продукти, а й у розробників, які їх створюють», — написала CrowdStrike у звіті про операцію з ліквідації. «Розробники є унікально цінними цілями: компрометація робочої станції одного розробника може призвести до компрометації ланцюжка постачання, що вплине на тисячі організації та користувачів нижче за течією».
Хакери Glassworm використовували кілька стратегій для розповсюдження шкідливого коду. Це включало публікацію шкідливих розширень на маркетплейсі, який використовують розробники; малвертайзінг — коли хакери оплачують спонсоровані результати пошуку, які обманюють жертв на завантаження шкідливого ПЗ; використання облікових даних, викрадених у попередніх хакерських атаках, що дозволило захопити облікові записи розробників та встановити шкідливе ПЗ у їхній код.
Хакерам вдалося отруїти понад 300 репозиторіїв коду GitHub.
CrowdStrike змогла ліквідувати чотири канали командування та управління, які використовували хакери Glassworm, що перервало доступ хакерів до заражених комп’ютерів та зупинило розповсюдження шкідливого ПЗ.
Сервери командування та управління використовували блокчейн Solana, пірингову мережу BitTorrent, Google Calendar та віртуальні приватні сервери.
Незрозуміло, на якій юридичній чи технічній підставі CrowdStrike та інші діяли для ліквідації операції. Коли TechCrunch запитав, представник CrowdStrike Кірстен Спіас відмовилася коментувати за межами блогу компанії.
Минулого тижня хакери скомпрометували кілька проектів з відкритим кодом, які розповсюдили шкідливі оновлення в іншій хакерській кампанії під назвою «Mini Shai-Hulud». Щонайменше два розробники OpenAI були скомпрометовані цією групою хакерів. В іншій атаці на ланцюжок постачання у березні підозрюваний північнокорейський хакер захопив популярний інструмент розробки програмного забезпечення з відкритим кодом Axios, який використовують мільйони розробників.
