CrowdStrike спільно з Google та Shadowserver, неприбутковою організацією, що сканує та моніторить інтернет на предмет кібератак, ліквідували ботнет, який кіберзлочинці використовували для розповсюдження шкідливого ПЗ та викрадення паролів у розробників відкритого програмного забезпечення.
Метою операції було порушити діяльність кіберзлочинців, що стоять за так званим ботнетом Glassworm, які, за даними CrowdStrike, протягом двох років атакували ширший ланцюг постачання відкритого ПЗ.
Останніми місяцями кілька хакерських угруповань почали цілеспрямовано атакувати розробників та open source-проєкти, щоб «протиснути» шкідливе ПЗ до компаній і організацій, які використовують цей код. Такі атаки ефективні, тому що експлуатують довіру до коду, розміщеного на платформах на кшталт GitHub, і до людей, які цей код створюють.
«Зловмисники більше не націлюються лише на продукти, вони атакують розробників, які їх створюють», — пише CrowdStrike у своєму звіті про цю операцію. «Розробники — це унікально цінні цілі: компрометація робочої станції одного розробника може перерости у компрометацію ланцюга постачання, що вплине на тисячі організацій і користувачів далі за ланцюжком».
Хакери Glassworm використовували кілька підходів для поширення свого шкідливого коду. Серед них — публікація шкідливих розширень на маркетплейсі для розробників; malvertising (коли зловмисники оплачують спонсоровані результати пошуку, що вводять жертв в оману і змушують завантажувати шкідливе ПЗ); а також використання облікових даних, вкрадених у попередніх зламах, що дозволяло захоплювати облікові записи розробників і впроваджувати шкідливий код у їхні репозиторії.
У підсумку хакерам вдалося «отруїти», як висловлюється CrowdStrike, понад 300 репозиторіїв коду на GitHub.
CrowdStrike повідомила, що їй вдалося вивести з ладу чотири канали командування і контролю, які використовували хакери Glassworm. Це відрізало зловмисників від заражених комп’ютерів і зупинило подальшу доставку шкідливого ПЗ.
За даними CrowdStrike, сервери командування і контролю спиралися на блокчейн Solana, однорангову мережу BitTorrent, Google Calendar та віртуальні приватні сервери.
Незрозуміло, на які саме юридичні чи технічні повноваження спиралися CrowdStrike та інші учасники операції під час ліквідації ботнету. На запит TechCrunch представниця CrowdStrike Кірстен Спіас відмовилася коментувати щось понад опублікований компанією блог-пост.
Минулого тижня хакери зламали кілька open source-проєктів і поширили шкідливі оновлення в межах іншої кампанії, яку назвали «Mini Shai-Hulud». Щонайменше двоє розробників OpenAI стали жертвами цієї групи. В іншій атаці на ланцюг постачання в березні підозрюваний північнокорейський хакер захопив популярний інструмент для розробки відкритого ПЗ Axios, яким користуються мільйони розробників.
У статті оновлено дані щодо кількості скомпрометованих розробників OpenAI та додано коментар CrowdStrike.