CrowdStrike, en colaboración con Google y la organización sin ánimo de lucro Shadowserver, ha desmantelado una importante botnet utilizada por ciberdelincuentes para robar contraseñas y distribuir malware entre desarrolladores de software de código abierto. Esta botnet, llamada Glassworm, ha estado involucrada en ataques a la cadena de suministro de software durante los últimos dos años, informa Techcrunch.com. informa .
Los ciberatacantes aprovecharon la confianza en el código alojado en plataformas como GitHub para causar daños a empresas y organizaciones. Según un informe de CrowdStrike, comprometer la estación de trabajo de un solo desarrollador puede desencadenar una reacción en cadena que afecte a miles de organizaciones y usuarios intermedios.
Los hackers de Glassworm utilizaron varias estrategias para lograr sus objetivos. Estas incluyen la publicación de extensiones maliciosas en mercados para desarrolladores, el engaño a usuarios mediante publicidad maliciosa (malvertising) en motores de búsqueda y el secuestro de cuentas de desarrolladores utilizando credenciales previamente robadas. Como resultado, se inyectó código malicioso en más de 300 repositorios de GitHub.
Durante la operación, se desactivaron cuatro canales de comando y control (C2) utilizados por los hackers de Glassworm. Estos servidores operaban a través de la blockchain de Solana, la red BitTorrent, Google Calendar y servidores privados virtuales (VPS). El cierre de estos canales cortó el acceso de los hackers a las computadoras infectadas y evitó la propagación de nuevo malware.
Los ataques a la cadena de suministro de software han aumentado recientemente. Por ejemplo, la semana pasada, la cuenta de un desarrollador de OpenAI fue comprometida como parte de la campaña “Mini Shai-Hulud”. En marzo, la herramienta Axios, utilizada por millones de personas, fue blanco de hackers. Esta operación conjunta de CrowdStrike y Google se considera una victoria importante en el campo de la ciberseguridad.
¡Lee “Zamin” en Telegram!
