CrowdStrike совместно с Google и некоммерческой организацией Shadowserver провели масштабную операцию по ликвидации ботнета Glassworm, который использовали киберпреступники для распространения вредоносного ПО и кражи паролей у разработчиков open-source программного обеспечения.
Об этом сообщает ProIT
Glassworm: как работал ботнет, угрожавший тысячам организаций
По данным CrowdStrike, Glassworm на протяжении двух лет направлял атаки на широкую экосистему разработчиков и компаний, использующих открытый код. Главная опасность заключалась в том, что злоумышленники целенаправленно внедряли вредоносный код в программные проекты, которыми пользуется огромное количество организаций. Злоумышленники использовали несколько тактик: размещение вредоносных расширений на маркетплейсах для разработчиков, так называемое malvertising (реклама, ведущая на зараженные ресурсы), а также использование украденных учетных данных для кражи учетных записей разработчиков и внедрения вредоносного кода в их проекты.
По подсчетам CrowdStrike, преступникам удалось скомпрометировать более 300 репозиториев на GitHub, что создало угрозу для тысяч пользователей и организаций, использующих зараженный open-source код.
«Противники больше не просто нацеливаются на продукты, они нацеливаются на разработчиков, которые их создают. Разработчики представляют собой уникально ценные цели: компрометация рабочего места одного разработчика может привести к компрометации цепочки поставок, которая затрагивает тысячи downstream организаций и пользователей».
Операция ликвидации и методы киберзащиты
CrowdStrike сообщила, что им удалось нейтрализовать четыре канала командования и контроля, которые использовали Glassworm для управления зараженными устройствами и распространения вредоносного ПО. Для этого хакеры применяли инфраструктуру на базе блокчейна Solana, сети BitTorrent, Google Calendar и виртуальных частных серверов.
Благодаря этой операции киберпреступники потеряли доступ к инфицированным машинам, что позволило остановить дальнейшее распространение вредоносного программного обеспечения. Однако на данный момент остается непонятным, на основании каких именно юридических или технических полномочий осуществлялась эта операция. Представители CrowdStrike пока не предоставили комментариев по этому поводу.
В последние месяцы наблюдается рост атак на open-source сообщество. Так, на прошлой неделе было скомпрометировано несколько проектов с открытым кодом в отдельной кампании «Mini Shai-Hulud», а в марте был украден контроль над популярным инструментом Axios, который используют миллионы разработчиков, вероятно, северокорейскими хакерами. Это свидетельствует о растущей опасности атак на цепочку поставок для предприятий и разработчиков по всему миру.