CrowdStrike, Google ve kâr amacı gütmeyen Shadowserver kuruluşu ile iş birliği yaparak, siber suçluların açık kaynaklı yazılım geliştiricilerinden parola çalmak ve kötü amaçlı yazılım yaymak için kullandığı büyük bir botnet ağını etkisiz hale getirdi. Glassworm olarak adlandırılan bu botnet, son iki yıldır yazılım tedarik zincirine yönelik saldırılar gerçekleştiriyordu. Bu gelişmeyi Techcrunch.com aktarıyor.
Saldırganlar, GitHub gibi platformlarda barındırılan kodlara duyulan güveni istismar ederek şirketlere ve kurumlara zarar vermeyi hedefledi. CrowdStrike raporuna göre, tek bir yazılımcının iş bilgisayarının ele geçirilmesi, binlerce alt kuruluşu ve kullanıcıyı etkileyen bir zincirleme reaksiyona yol açabiliyor.
Glassworm hackerları hedeflerine ulaşmak için çeşitli stratejiler kullandı. Bunlar arasında yazılımcılara yönelik pazar yerlerinde kötü amaçlı eklentiler yayınlamak, arama motorlarında sahte reklamlar (malvertising) yoluyla kullanıcıları kandırmak ve daha önce çalınan verilerle geliştirici hesaplarını ele geçirmek yer alıyor. Sonuç olarak 300'den fazla GitHub deposuna kötü amaçlı kod enjekte edildi.
Operasyon sırasında Glassworm hackerlarının kullandığı dört komuta kontrol (C2) kanalı devre dışı bırakıldı. Bu sunucular Solana blokzinciri, BitTorrent ağı, Google Calendar ve sanal özel sunucular (VPS) üzerinden çalışıyordu. Bu kanalların kapatılması, hackerların virüslü bilgisayarlara erişimini kesti ve yeni kötü amaçlı yazılımların yayılmasını engelledi.
Son dönemde yazılım tedarik zinciri saldırıları artış gösteriyor. Örneğin, geçen hafta «Mini Shai-Hulud» kampanyası kapsamında OpenAI geliştiricilerinden birinin hesabı ele geçirilmişti. Mart ayında ise milyonlarca kişinin kullandığı Axios aracı siber saldırıya uğramıştı. CrowdStrike ve Google'ın bu operasyonu, siber güvenlik alanında önemli bir zafer olarak değerlendiriliyor.
“Zamin”i Telegram'da okuyun!
