CrowdStrike и Google ликвидировали ботнет, нацеленный на разработчиков

Компания CrowdStrike в сотрудничестве с Google и некоммерческой организацией Shadowserver ликвидировала крупную сеть ботнетов, которую киберпреступники использовали для кражи паролей у разработчиков ПО с открытым исходным кодом и распространения вредоносного ПО. Этот ботнет, получивший название Glassworm, в течение последних двух лет занимался атаками на цепочки поставок программного обеспечения. Об этом сообщает портал Techcrunch.com.

Злоумышленники использовали доверие к коду, размещенному на таких платформах, как GitHub, чтобы нанести ущерб компаниям и организациям. Согласно отчету CrowdStrike, взлом рабочего компьютера одного разработчика может вызвать цепную реакцию, затрагивающую тысячи дочерних организаций и пользователей.

Хакеры Glassworm использовали несколько стратегий для достижения своих целей. К ним относятся публикация вредоносных расширений на маркетплейсах для разработчиков, обман пользователей через фальшивую рекламу (malvertising) в поисковых системах и захват учетных записей разработчиков с помощью ранее украденных данных. В результате вредоносный код был внедрен в более чем 300 репозиториев GitHub.

В ходе операции были выведены из строя четыре канала управления (C2), использовавшиеся хакерами Glassworm. Эти серверы функционировали через блокчейн Solana, сеть BitTorrent, Google Calendar и виртуальные частные серверы (VPS). Закрытие этих каналов прекратило доступ хакеров к зараженным компьютерам и предотвратило распространение нового вредоносного ПО.

В последнее время атаки на цепочки поставок ПО участились. Например, на прошлой неделе в рамках кампании «Mini Shai-Hulud» была взломана учетная запись одного из разработчиков OpenAI. А в марте хакерской атаке подвергся инструмент Axios, которым пользуются миллионы людей. Данная операция CrowdStrike и Google оценивается как важная победа в сфере кибербезопасности.