CrowdStrike, en colaboración con Google y la organización de seguridad en internet Shadowserver, ha desmantelado una red de bots dirigida específicamente a desarrolladores de software de código abierto. Durante los últimos dos años, esta red ha utilizado cuentas de desarrolladores y cadenas de distribución de código para implantar programas maliciosos y robar contraseñas.
Ataques continuos a desarrolladores durante dos años
Esta operación apunta a la red de ataque conocida como Glassworm. CrowdStrike indica que estos ataques ya no se centran únicamente en productos de software, sino que atacan directamente a los desarrolladores que escriben y mantienen el código, ya que la compromisión de un solo dispositivo de desarrollador puede propagarse a lo largo de la cadena de suministro a numerosos usuarios e instituciones aguas abajo.
More than 300 GitHub repositories compromised
Según CrowdStrike, los atacantes propagan principalmente el código malicioso de tres formas: publicando plugins maliciosos en los mercados de extensiones utilizados por los desarrolladores, comprando anuncios de búsqueda para inducir descargas y aprovechando credenciales robadas anteriormente para tomar el control de las cuentas de los desarrolladores.
- Extensiones maliciosas han sido lanzadas en el mercado de desarrolladores
- Los anuncios de búsqueda se utilizan para inducir la descarga de troyanos
- La cuenta robada se utilizó para insertar código malicioso
Después de obtener el control de la cuenta, el atacante insertó código malicioso en el repositorio del proyecto. CrowdStrike indicó que finalmente más de 300 repositorios de GitHub resultaron contaminados.
El canal de control involucra servicios como Solana
CrowdStrike indicó que ha cortado los cuatro canales de comando y control utilizados por Glassworm, reduciendo la capacidad del atacante para acceder a los dispositivos infectados y impidiendo la descarga de más malware.
El informe indica que estas infraestructuras de control dependen de múltiples canales, incluyendo la cadena de bloques Solana, la red peer-to-peer BitTorrent, Google Calendar y servidores virtuales dedicados. Sin embargo, el informe no especifica qué autorización legal o método técnico se utilizó exactamente para llevar a cabo esta operación.
Recientemente, se han seguido produciendo ataques similares
En los últimos meses, los ataques a la cadena de suministro dirigidos a proyectos de código abierto y desarrolladores han aumentado constantemente. TechCrunch mencionó que la semana pasada se llevó a cabo otra ola de ataques denominada Mini Shai-Hulud, que comprometió varios proyectos de código abierto y distribuyó actualizaciones maliciosas, afectando también a un desarrollador de OpenAI.
Información adicional: El informe también mencionó que en marzo de este año ocurrió otro ataque a la cadena de suministro, cuyo autor se sospecha que está relacionado con Corea del Norte, lo que demuestra que las cuentas de desarrolladores y las cadenas de distribución de código abierto están convirtiéndose en objetivos clave de los ataques.