Glassworm: ліквідація ботнету CrowdStrike

Glassworm: як ліквідували ботнет, що атакував розробників з відкритим кодом

CrowdStrike у співпраці з Google та некомерційною організацією Shadowserver знищили ботнет Glassworm. Зловмисники використовували цей ботнет для поширення шкідливого ПЗ і викрадення паролів у розробників проєктів з відкритим вихідним кодом.

Мета операції

Операція мала на меті припинити діяльність групи, яка протягом двох років цілеспрямовано атакувала ланцюги постачання програмного забезпечення з відкритим кодом. CrowdStrike зазначає, що компрометація одного робочого місця розробника може спричинити збої в ланцюгу постачання та вплинути на тисячі організацій і користувачів.

Як діяв Glassworm

• Публікація зловмисних розширень на маркетплейсах, які використовують розробники.
• Malvertising — купівля спонсорованих результатів пошуку, що вводять користувачів в оману й змушують завантажувати шкідливе ПЗ.
• Використання вкрадених облікових даних від попередніх зламів для доступу до акаунтів розробників і впровадження шкідливого коду в їхні проєкти.

За даними CrowdStrike, хакери "забруднили" понад 300 репозиторіїв на GitHub.

"Розробники представляють надзвичайно цінні цілі: компрометація робочої станції одного розробника може призвести до збоїв у ланцюзі постачання, які вплинуть на тисячі подальших організацій та користувачів." — CrowdStrike

Технічні деталі ліквідації

CrowdStrike заявляє, що ліквідував чотири канали керування та контролю (C2), які використовував Glassworm. Це відрізало доступ зламаних комп'ютерів до інфраструктури зловмисників і зупинило доставку нового шкідливого ПЗ.

Сервери C2 опиралися на різні технології: блокчейн Solana, peer-to-peer мережу BitTorrent, Google Calendar та віртуальні приватні сервери. Наразі неясно, на яких правових або технічних підставах CrowdStrike та партнери діяли для цієї операції.

Контекст: зростання атак на ланцюги постачання

Останні місяці відзначилися кількома атаками на розробників та проєкти з відкритим кодом. Зловмисники прагнуть компрометувати довірені джерела коду, наприклад GitHub, щоб через оновлення або розширення поширювати шкідливе ПЗ серед компаній і організацій.

Приклади недавніх інцидентів:

• Кампанія "Mini Shai-Hulud", під час якої кілька проєктів з відкритим кодом випустили зловмисні оновлення.
• Компрометація розробника OpenAI у рамках атак на постачальників коду.
• У березні підозрювані північнокорейські хакери перехопили популярний інструмент Axios, що використовується мільйонами розробників.

Контактні дані журналіста

Якщо у вас є додаткова інформація про Glassworm або інші атаки на ланцюги постачання, ви можете зв'язатися з Лорензо Франческі-Бікк'єраєм:

• Signal: +1 917 257 1382
• Telegram / Keybase / Wire: @lorenzofb
• Email: [email protected]

Заувага щодо партнерських посилань

Коли ви переходите за посиланнями в наших статтях, ми можемо отримати невеликий відсоток комісії. Це не впливає на нашу редакційну незалежність.

Для кого ця інформація корисна

Матеріал буде корисним для розробників, ІТ-адміністраторів, фахівців з кібербезпеки, а також для широкої аудиторії, яка цікавиться новинами ІТ та Новини геймінгу, де безпека ланцюга постачання також впливає на екосистему програмного забезпечення та ігор.