CrowdStrike, împreună cu Google și organizația nonprofit Shadowserver, au dezactivat botnetul Glassworm, o infrastructură folosită de hackeri pentru distribuirea de malware și furtul de parole din comunitatea dezvoltatorilor open-source.
Operațiunea vizează o campanie activă de aproape doi ani, care a afectat sute de proiecte software și a exploatat încrederea acordată platformelor precum GitHub.
Dezvoltatorii au devenit ținte principale
Potrivit CrowdStrike, atacatorii nu mai urmăresc doar compromiterea produselor software finale, ci și a programatorilor care dezvoltă aceste aplicații.
Compania de securitate avertizează că accesul la stația unui singur dezvoltator poate duce la infectarea întregului lanț software și, implicit, la compromiterea a mii de companii și utilizatori.
În ultimele luni, atacurile asupra ecosistemului open-source s-au intensificat, iar grupările de hackeri au început să folosească tot mai frecvent tehnici de tip supply chain attack pentru a introduce cod malițios în proiecte legitime.
Cum opera rețeaua Glassworm
Hackerii din spatele Glassworm au folosit mai multe metode pentru distribuirea malware-ului.
Printre tacticile identificate se numără publicarea de extensii malițioase în marketplace-uri dedicate dezvoltatorilor, campanii de tip malvertising și utilizarea unor credențiale furate în atacuri anterioare.
Prin aceste metode, atacatorii au reușit să preia controlul asupra unor conturi de dezvoltatori și să introducă cod infectat în proiecte software legitime.
CrowdStrike susține că peste 300 de repository-uri GitHub au fost compromise în cadrul acestei campanii.
Serverele de comandă au fost închise
Operațiunea coordonată de CrowdStrike și partenerii săi a dus la închiderea a patru canale de comandă și control folosite de gruparea Glassworm.
Aceste servere permiteau hackerilor să comunice cu sistemele infectate și să distribuie noi componente malware.
Potrivit raportului, infrastructura atacatorilor utiliza tehnologii variate, inclusiv blockchain-ul Solana, rețeaua BitTorrent, Google Calendar și servere private virtuale.
Compania nu a oferit detalii clare despre cadrul legal sau tehnic care a permis intervenția asupra infrastructurii folosite de atacatori.
Atacurile asupra proiectelor open-source se intensifică
Cazul Glassworm vine într-un context în care atacurile asupra comunității open-source devin tot mai frecvente.
Recent, mai multe proiecte software au fost compromise într-o campanie separată denumită „Mini Shai-Hulud”, iar un dezvoltator OpenAI s-a numărat printre victime.
În martie, un presupus hacker nord-coreean a reușit să compromită Axios, una dintre cele mai populare biblioteci open-source utilizate de milioane de programatori la nivel global.
Experții în securitate avertizează că aceste atacuri vor continua să crească, pe măsură ce infrastructura software modernă depinde tot mai mult de proiecte open-source și de colaborarea dintre dezvoltatori.
About the Author
