CrowdStrike, en collaboration avec Google et l'organisation de sécurité Internet Shadowserver, a démantelé un botnet ciblant spécifiquement les développeurs de logiciels open source. Ce botnet a, pendant les deux dernières années, exploité des comptes développeurs et des chaînes de distribution de code pour déployer des programmes malveillants et voler des mots de passe.
Attacks on developers持续 for two years
Cette opération cible le réseau d'attaque appelé Glassworm. CrowdStrike indique que ces attaques ne ciblent plus uniquement les produits logiciels, mais s'attaquent directement aux développeurs qui écrivent et maintiennent le code, car la compromission d'un seul appareil de développeur peut se propager le long de la chaîne d'approvisionnement à de nombreux utilisateurs et institutions en aval.
Plus de 300 dépôts GitHub sont contaminés
Selon CrowdStrike, les attaquants répandent principalement le code malveillant par trois moyens : publier des extensions malveillantes sur les marchés d'extensions utilisés par les développeurs, acheter des publicités de recherche pour inciter au téléchargement, et prendre le contrôle des comptes développeurs à l'aide de credentials précédemment volés.
- Des extensions malveillantes ont été déployées sur le marché des développeurs
- Les publicités recherchées sont utilisées pour inciter au téléchargement de chevaux de Troie
- Le compte volé a été utilisé pour injecter du code malveillant
Après avoir pris le contrôle du compte, l'attaquant a injecté du code malveillant dans le dépôt du projet. CrowdStrike a indiqué que plus de 300 dépôts GitHub ont finalement été contaminés.
Le contrôle des canaux implique des services tels que Solana.
CrowdStrike indique avoir coupé les quatre canaux de commande et de contrôle utilisés par Glassworm, réduisant ainsi la capacité des attaquants à accéder aux appareils infectés et empêchant la diffusion de nouveaux logiciels malveillants.
Le rapport indique que ces infrastructures de contrôle dépendent de plusieurs canaux, notamment la blockchain Solana, le réseau peer-to-peer BitTorrent, Google Calendar et des serveurs virtuels dédiés. Toutefois, le rapport ne précise pas quelles autorités légales ou quelles méthodes techniques ont été utilisées pour mener cette opération.
Des attaques similaires se produisent récemment.
Ces derniers mois, les attaques de chaîne d'approvisionnement ciblant les projets open source et les développeurs ont continué d'augmenter. TechCrunch a mentionné qu'une autre campagne d'attaque la semaine dernière, nommée Mini Shai-Hulud, a compromis plusieurs projets open source et a poussé des mises à jour malveillantes, affectant également un développeur d'OpenAI.
Informations complémentaires : L'article mentionne également qu'une autre attaque par chaîne d'approvisionnement a eu lieu en mars de cette année, avec des pirates soupçonnés d'être liés à la Corée du Nord, ce qui montre que les comptes de développeurs et les chaînes de distribution open source sont devenus des cibles privilégiées.