CrowdStrike и Google обезвредили ботнет Glassworm

Компания CrowdStrike, работая совместно с Google и некоммерческой организацией Shadowserver, обезвредила ботнет, который киберпреступники использовали для распространения вредоносного ПО и кражи паролей у разработчиков программного обеспечения с открытым исходным кодом.

Ботнет Glassworm уже два года атаковал всю цепочку поставок программного обеспечения с открытым исходным кодом.

В последние месяцы несколько хакерских групп нацеливались на разработчиков и проекты с открытым исходным кодом, чтобы распространять вредоносный софт среди компаний и организаций, которые используют опенсорсные решения. Атаки строятся на доверии, которое компании оказывают коду, размещённому на платформах разработки, в том числе GitHub.

«Противники больше не нацеливаются только на продукты, они нацеливаются на разработчиков, которые их создают. Разработчики представляют собой исключительно ценные цели: взлом одной рабочей станции может привести к катастрофическим последствиям в цепочке поставок, затрагивающим тысячи организаций и пользователей», — говорится в отчёте CrowdStrike.

Хакеры Glassworm использовали некоторое количество стратегий для распространения своего вредоносного кода. К ним относятся публикация вредоносных расширений на площадке разработчиков; вредоносная реклама, когда хакеры платят за спонсируемые результаты поиска, чтобы обманом заставляют жертв скачивать вредоносное ПО; и использование учётных данных, украденных в процессе предыдущих взломов.

В результате хакерам удалось заразить более 300 репозиториев кода GitHub. CrowdStrike заявила, что смогла выключить четыре канала управления, используемых Glassworm, что ограничило доступ злоумышленников к заражённым компьютерам и остановило распространение вредоносного ПО.

По данным CrowdStrike, серверы управления и контроля использовали блокчейн Solana, пиринговую сеть BitTorrent, Google Calendar и виртуальные частные серверы.

Ранее в GitHub сообщили, что хакеры, взломавшие 3800 внутренних репозиториев платформы, получили доступ к ним через вредоносную версию расширения Nx Console для VS Code. Она была скомпрометирована за неделю до этого в результате атаки на цепочку поставок npm от TanStack. С ней связывают хакеров TeamPCP, которые организовывали крупные атаки на цепочки поставок, нацеленные на платформы для разработчиков кода, включая PyPI, NPM, GitHub и Docker, а также, совсем недавно, с кампанией «Mini Shai-Hulud» (которая также затронула двух сотрудников OpenAI).