A CrowdStrike, em parceria com o Google e a organização de segurança cibernética Shadowserver, desmantelou uma botnet especializada em atacar desenvolvedores de software de código aberto. A botnet vem, há dois anos, explorando contas de desenvolvedores e cadeias de distribuição de código para implantar programas maliciosos e roubar senhas.
Ataques contínuos aos desenvolvedores por dois anos
Esta operação visa a rede de ataque chamada Glassworm. A CrowdStrike afirma que esses ataques já não se limitam a produtos de software, mas atacam diretamente desenvolvedores que escrevem e mantêm código, pois a compromissão de um único dispositivo de desenvolvedor pode se espalhar pela cadeia de suprimentos para muitos usuários e instituições a jusante.
Mais de 300 repositórios do GitHub estão contaminados
De acordo com a CrowdStrike, os atacantes espalham código malicioso principalmente por três meios: publicando plugins maliciosos no mercado de extensões usado pelos desenvolvedores, comprando anúncios de busca para induzir downloads e assumindo contas de desenvolvedores usando credenciais previamente roubadas.
- Extensões maliciosas foram lançadas no mercado de desenvolvedores
- Anúncios de busca são usados para induzir o download de trojans
- A conta roubada foi usada para implantar código malicioso
Após obter o controle da conta, o atacante inseriu código malicioso no repositório do projeto. A CrowdStrike afirmou que mais de 300 repositórios do GitHub acabaram contaminados.
O canal de controle envolve serviços como Solana
A CrowdStrike afirmou que cortou os quatro canais de comando e controle utilizados pelo Glassworm, reduzindo a capacidade dos atacantes de acessar dispositivos infectados e impedindo a distribuição de mais malware.
O relatório afirma que essas infraestruturas de controle dependem de múltiplos canais, incluindo a blockchain Solana, a rede peer-to-peer BitTorrent, o Google Calendar e servidores virtuais dedicados. No entanto, o relatório não esclarece sob qual autorização legal ou método técnico específica esta operação foi realizada.
Ataques semelhantes continuaram a ocorrer recentemente
Nos últimos meses, os ataques à cadeia de suprimentos direcionados a projetos e desenvolvedores de código aberto têm aumentado continuamente. O TechCrunch mencionou que, na semana passada, outra campanha de ataque chamada Mini Shai-Hulud invadiu vários projetos de código aberto e impulsionou atualizações maliciosas, afetando também um desenvolvedor da OpenAI.
Informação adicional: O relatório também mencionou que, em março deste ano, ocorreu outro ataque à cadeia de suprimentos, cujos hackers são suspeitos de estarem ligados à Coreia do Norte, indicando que contas de desenvolvedores e cadeias de distribuição de código aberto estão se tornando alvos principais.