Glassworm: desmantelan botnet que atacaba la cadena de suministro

CrowdStrike, Google y Shadowserver desmantelan la botnet Glassworm

CrowdStrike, en colaboración con Google y Shadowserver —una organización sin fines de lucro que vigila Internet en busca de ciberataques— desmanteló una botnet usada por ciberdelincuentes para propagar malware y robar contraseñas de desarrolladores de software de código abierto.

Objetivo de la operación

La operación apuntó a interrumpir las actividades del grupo detrás de la llamada botnet Glassworm, que según CrowdStrike ha estado atacando la cadena de suministro de software de código abierto durante al menos dos años.

Métodos de infección y propagación

Los atacantes de Glassworm emplearon diversas tácticas para difundir código malicioso entre desarrolladores y repositorios:

• Publicar extensiones maliciosas en mercados utilizados por desarrolladores.
• Malvertising: anuncios patrocinados en motores de búsqueda que inducen a descargar malware.
• Uso de credenciales robadas en intrusiones previas para secuestrar cuentas de desarrolladores y sembrar malware en el código.

Como resultado, los hackers consiguieron "envenenar" más de 300 repositorios en GitHub, según CrowdStrike.

"Los adversarios ya no atacan solo productos, atacan a los desarrolladores que los crean." — CrowdStrike

Interrupción de los canales de mando y control

CrowdStrike afirmó que logró desmantelar cuatro canales de mando y control usados por Glassworm, cortando el acceso de los atacantes a computadoras infectadas e impidiendo la entrega de más malware.

Esos servidores de mando y control se apoyaban en diversas infraestructuras: la cadena de bloques Solana, la red peer-to-peer BitTorrent, Google Calendar y servidores privados virtuales (VPS), según el informe.

No está claro bajo qué autoridad legal o técnica actuaron CrowdStrike y sus socios para desmantelar la operación; un portavoz de CrowdStrike no comentó de inmediato.

Contexto: ataques recientes a la cadena de suministro

En los últimos meses han aumentado los ataques a desarrolladores y proyectos de código abierto con el fin de propagar actualizaciones maliciosas hasta empresas y organizaciones que dependen de ese software. Ejemplos recientes incluyen:

• La campaña "Mini Shai-Hulud", que comprometió varios proyectos de código abierto; incluso un desarrollador de OpenAI resultó afectado.
• Un presunto atacante norcoreano que secuestró la popular librería Axios en marzo, usada por millones de desarrolladores.

Cómo pueden protegerse desarrolladores y organizaciones

Recomendaciones básicas para mitigar riesgos en la cadena de suministro de software:

• Usar autenticación multifactor y rotación de credenciales en cuentas de desarrollo.
• Verificar firmas y sumas de comprobación (hashes) de paquetes e integraciones.
• Revisar dependencias y aplicar políticas de aprobación para cambios en repositorios críticos.
• Monitorear actividad inusual en cuentas y en pipelines de CI/CD.

Contacto y fuente

Si tienes información sobre el grupo Glassworm u otros ataques a la cadena de suministro, puedes contactar de forma segura a Lorenzo Franceschi-Bicchierai por Signal al +1 917 257 1382, o en Telegram, Keybase y Wire como @lorenzofb. También está disponible por correo electrónico en [email protected].

Nota editorial: Cuando compras a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión; esto no afecta nuestra independencia editorial.

Lorenzo Franceschi-Bicchierai es Redactor Senior en TechCrunch y cubre hacking, ciberseguridad, vigilancia y privacidad.