Целью операции по пресечению деятельности, проведенной CrowdStrike, было нарушение работы киберпреступников, стоящих за так называемым ботнетом Glassworm, которые в течение двух лет нацеливались на цепочку поставок программного обеспечения с открытым исходным кодом в целом, по данным CrowdStrike.
В последние месяцы несколько хакерских группировок атаковали разработчиков и проекты с открытым исходным кодом, чтобы внедрить вредоносное ПО в компании и организации, которые, в свою очередь, используют это ПО. Эти атаки могут быть эффективными, поскольку они используют доверие, которое компании оказывают коду, размещенному на таких платформах, как GitHub, и людям, стоящим за этим кодом.
«Злоумышленники больше не нацеливаются только на продукты, они нацеливаются на разработчиков, которые их создают», — написала CrowdStrike в своем отчете об операции по пресечению деятельности. «Разработчики представляют собой уникально ценные цели: компрометация рабочей станции одного разработчика может привести к каскадному нарушению цепочки поставок, затрагивающему тысячи последующих организаций и пользователей».
Хакеры Glassworm использовали несколько стратегий для распространения своего вредоносного кода. К ним относились публикация вредоносных расширений на маркетплейсе, используемом разработчиками; малвертайзинг — когда хакеры платят за спонсируемые результаты поиска, чтобы обманом заставить жертв загрузить вредоносное ПО; а также использование учетных данных, украденных при предыдущих взломах, что позволило им захватывать аккаунты разработчиков и внедрять вредоносное ПО в их код.
В итоге хакерам удалось «отравить», как выразилась CrowdStrike, более 300 репозиториев кода на GitHub.
CrowdStrike сообщила, что ей удалось отключить четыре канала управления и контроля (command-and-control), используемых хакерами Glassworm, что лишило хакеров доступа к зараженным компьютерам и помешало им доставлять больше вредоносного ПО.
Серверы управления и контроля опирались на блокчейн Solana, пиринговую сеть BitTorrent, Google Calendar и виртуальные частные серверы, по данным CrowdStrike.
Неясно, на каком юридическом или техническом основании действовали CrowdStrike и другие стороны при проведении операции по пресечению деятельности. Представитель CrowdStrike не дал немедленных комментариев.
На прошлой неделе хакеры скомпрометировали несколько проектов с открытым исходным кодом, которые распространяли вредоносные обновления в рамках другой хакерской кампании под названием «Mini Shai-Hulud». Разработчик OpenAI был скомпрометирован этой группой хакеров. В результате другой атаки на цепочку поставок в марте предполагаемый северокорейский хакер захватил популярный инструмент разработки с открытым исходным кодом Axios, которым пользуются миллионы разработчиков.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lorenzo Franceschi-Bicchierai
