CrowdStrike спільно з Google та некомерційною організацією Shadowserver здійснили масштабну операцію з ліквідації ботнету Glassworm, який використовували кіберзлочинці для розповсюдження шкідливого ПЗ та крадіжки паролів у розробників open-source програмного забезпечення.
Про це розповідає ProIT
Glassworm: як працював ботнет, що загрожував тисячам організацій
За даними CrowdStrike, Glassworm протягом двох років спрямовував атаки на широку екосистему розробників та компаній, що використовують відкритий код. Головна небезпека полягала в тому, що атакувальники цілеспрямовано впроваджували шкідливий код у програмні проєкти, якими користується величезна кількість організацій. Зловмисники використовували декілька тактик: розміщення шкідливих розширень на маркетплейсах для розробників, так зване malvertising (реклама, яка веде на заражені ресурси), а також використання вкрадених облікових даних для викрадення облікових записів розробників та впровадження шкідливого коду у їхні проєкти.
За підрахунками CrowdStrike, злочинцям вдалося скомпрометувати понад 300 репозиторіїв на GitHub, чим було створено загрозу для тисяч користувачів та організацій, що використовують заражений open-source код.
“Adversaries are no longer just targeting products, they’re targeting the developers who build them. Developers represent uniquely high-value targets: compromising a single developer’s workstation can cascade into a supply-chain compromise that impacts thousands of downstream organizations and users”.
Операція ліквідації та методи кіберзахисту
CrowdStrike повідомила, що їм вдалося нейтралізувати чотири канали командування і контролю, які використовували Glassworm для управління зараженими пристроями та розповсюдження шкідливого ПЗ. Для цього хакери застосовували інфраструктуру на базі блокчейну Solana, мережі BitTorrent, Google Calendar та віртуальних приватних серверів.
Завдяки цій операції кіберзлочинці втратили доступ до інфікованих машин, що дозволило зупинити подальше розповсюдження шкідливого програмного забезпечення. Однак, наразі залишається незрозумілим, на підставі яких саме юридичних або технічних повноважень здійснювалась ця операція. Представники CrowdStrike поки не надали коментарів із цього приводу.
За останні місяці спостерігається зростання атак на open-source спільноту. Так, минулого тижня було скомпрометовано декілька проєктів із відкритим кодом в окремій кампанії «Mini Shai-Hulud», а в березні було викрадено контроль над популярним інструментом Axios, який використовують мільйони розробників, ймовірно, північнокорейськими хакерами. Це свідчить про зростаючу небезпеку supply chain атак для підприємств і розробників усього світу.