Pinagsama-sama ni CrowdStrike ang Google at ang internet security organization na Shadowserver upang sirain ang isang zombie network na nakatuon sa mga developer ng open-source software. Ang network ay patuloy na gumamit ng mga developer account at mga chain ng code distribution sa loob ng dalawang taon upang ilatag ang mga malicious program at makuha ang mga password.
Patuloy na pag-atake sa mga developer sa loob ng dalawang taon
Tinutokoy ng aksyon na ito ang isang network ng pag-atake na tinatawag na Glassworm. Sinabi ng CrowdStrike na ang mga ganitong pag-atake ay hindi na lamang nakatuon sa mga software product, kundi direktang tumutok sa mga developer na sumusulat at nagpapanatili ng code, dahil ang pagkakasira ng isang device ng developer ay maaaring magdulot ng pagkalat sa malaking bilang ng mga downstream user at institusyon sa pamamagitan ng supply chain.
Higit sa 300 na GitHub repositories ang nasira
Ayon sa CrowdStrike, ang mga attacker ay naglalatag ng masamang code sa pamamagitan ng tatlong pangunahing paraan: ang pagpapalabas ng masamang plugin sa mga extension market na ginagamit ng mga developer, ang pagbili ng mga search ad upang hikayatin ang pag-download, at ang paggamit ng mga nakuhang credentials upang kunin ang mga account ng developer.
- Mga mapang-aabuso na extension ay inilabas sa developer marketplace
- Ang mga advertisement sa paghahanap ay ginagamit upang hikayatin ang pag-download ng malware
- Ang nai-stal na account ay ginamit para i-deploy ang masamang code
Pagkatapos makakuha ng kontrol sa account, isinulat ng mga attacker ang masamang code sa repository ng proyekto. Ayon sa CrowdStrike, higit sa 300 na GitHub code repository ang na-pollute.
Ang control channel ay kasangkot sa mga serbisyo tulad ng Solana
Sinabi ng CrowdStrike na natigil na ang apat na channel ng command and control na ginagamit ng Glassworm, na nagpapababa ng kakayahan ng mga attacker na makapag-access sa mga nasirang device at nagpapigil sa kanilang pagpapadala ng karagdagang malwares.
Ayon sa ulat, ang mga kontrol sa infrastraktura ay nakadepende sa maraming channel, kabilang ang Solana blockchain, ang BitTorrent peer-to-peer network, Google Calendar, at virtual private servers. Gayunpaman, hindi naipaliwanag ng ulat kung anong legal na awtorisasyon o teknikal na paraan ang ginamit sa aksyon na ito.
Patuloy na lumalabas ang mga katulad na pag-atake sa nakaraang panahon
Sa mga nakalipas na buwan, patuloy na tumataas ang mga pag-atake sa supply chain laban sa mga open-source project at developer. Sinipi ng TechCrunch na noong nakaraang linggo, isang bagong serye ng pag-atake na tinatawag na Mini Shai-Hulud ay sumakop sa maraming open-source project at nagpadala ng masamang update, kung saan nasakop din ang isang developer ng OpenAI.
Karagdagang impormasyon: Binanggit din ng ulat na mayroon pang isa pang supply chain attack noong Marso ng taong ito, kung saan ang mga hacker ay inaakalang may kinalaman sa Korea ng Hilaga, na nagpapakita na ang mga developer account at mga open-source distribution channels ay naging pangunahing layunin ng mga serbisyo.