CrowdStrike и Google обезвредили ботнет, использовавшийся хакерами для атак на разработчиков программного обеспечения в рамках цепочек поставок.

Компания CrowdStrike, работая совместно с Google и Shadowserver, некоммерческой организацией, которая сканирует и отслеживает интернет на предмет кибератак, обезвредила ботнет, который киберпреступники использовали для распространения вредоносного ПО и кражи паролей у разработчиков программного обеспечения с открытым исходным кодом.

Целью операции по пресечению деятельности киберпреступников, стоящих за так называемым ботнетом Glassworm, которые, по данным CrowdStrike, в течение двух лет атаковали всю цепочку поставок программного обеспечения с открытым исходным кодом.

В последние месяцы несколько хакерских групп атаковали разработчиков и проекты с открытым исходным кодом, чтобы распространять вредоносное программное обеспечение среди компаний и организаций, которые, в свою очередь, используют это ПО. Эти атаки могут быть эффективными, поскольку они используют доверие, которое компании оказывают коду, размещенному на таких платформах, как GitHub, и работникам, стоящим за этим кодом.

«Злоумышленники теперь нацелены не только на продукты, но и на разработчиков, которые их создают», — говорится в отчете CrowdStrike об операции по блокировке. «Разработчики представляют собой исключительно ценные цели: взлом рабочей станции одного разработчика может привести к цепной реакции, которая затронет тысячи организаций и пользователей, работающих с ними».

Хакеры из Glassworm использовали несколько стратегий для распространения своего вредоносного кода. Среди них – публикация вредоносных расширений на торговой площадке, используемой разработчиками; вредоносная реклама – когда хакеры платят за спонсируемые результаты поиска, которые обманом заставляют жертв загружать вредоносное ПО; и использование учетных данных, украденных в ходе предыдущих взломов, что позволило взломать учетные записи разработчиков и внедрить вредоносное ПО в их код.

В итоге хакерам удалось, как выразилась компания CrowdStrike, заразить более 300 репозиториев кода на GitHub.

Связаться с нами

У вас есть дополнительная информация о хакерской группе Glassworm? Или о других атаках на цепочки поставок? С любого устройства, кроме рабочего, вы можете безопасно связаться с Лоренцо Франчески-Биккьераи через Signal по номеру +1 917 257 1382, или через Telegram, Keybase и Wire @lorenzofb, или по электронной почте.

Компания CrowdStrike заявила, что ей удалось перекрыть четыре канала управления, используемых хакерами Glassworm, что ограничило доступ хакеров к зараженным компьютерам и предотвратило распространение ими вредоносного ПО.

По данным CrowdStrike, серверы управления и контроля использовали блокчейн Solana, пиринговую сеть BitTorrent, Google Calendar и виртуальные частные серверы.

Неясно, на каком правовом или техническом основании CrowdStrike и другие компании действовали для закрытия этой операции. Представитель CrowdStrike пока не дал комментариев.

На прошлой неделе хакеры взломали несколько проектов с открытым исходным кодом, распространив вредоносные обновления в рамках другой хакерской кампании под названием «Мини Шай-Хулуд». В результате действий этой группы хакеров был взломан разработчик OpenAI. В другой атаке на цепочку поставок в марте предполагаемый северокорейский хакер захватил популярный инструмент разработки программного обеспечения с открытым исходным кодом Axios, которым пользуются миллионы разработчиков.

Источник: techcrunch.com