CrowdStrike совместно с Google и интернет-безопасностной организацией Shadowserver ликвидировала ботнет, нацеленный исключительно на разработчиков открытого программного обеспечения. В течение последних двух лет эта сеть постоянно использовала учетные записи разработчиков и цепочки распространения кода для распространения вредоносных программ и кражи паролей.
Постоянные атаки на разработчиков в течение двух лет
Эта операция направлена на сетку атак под названием Glassworm. CrowdStrike сообщает, что такие атаки больше не ограничиваются программными продуктами, а теперь напрямую нацелены на разработчиков, создающих и поддерживающих код, поскольку компрометация одного устройства разработчика может привести к распространению вдоль цепочки поставок на множество конечных пользователей и организаций.
Более 300 репозиториев GitHub заражены
Согласно CrowdStrike, злоумышленники в основном распространяют вредоносный код тремя способами: публикация вредоносных плагинов на рынках расширений, используемых разработчиками, покупка поисковой рекламы для наведения на скачивание, а также использование ранее похищенных учетных данных для захвата аккаунтов разработчиков.
- Злоумышленные расширения были размещены на маркете для разработчиков
- Рекламные объявления используются для навязчивой загрузки троянов
- Счет, подвергшийся взлому, был использован для внедрения вредоносного кода
После получения контроля над аккаунтом злоумышленники внесли вредоносный код в репозитории проектов. По данным CrowdStrike, в итоге было заражено более 300 репозиториев на GitHub.
Контрольный канал включает сервисы, такие как Solana
CrowdStrike сообщила, что перекрыла четыре канала управления и контроля, используемые Glassworm, ослабив возможность злоумышленников получать доступ к зараженным устройствам и предотвратив дальнейшую загрузку вредоносных программ.
Согласно отчету, эти инфраструктурные средства управления зависят от нескольких каналов, включая блокчейн Solana, сетевую сеть BitTorrent, Google Calendar и виртуальные частные серверы. Однако в отчете не указано, на какой правовой основе или с помощью каких технических методов была проведена эта операция.
В последнее время продолжаются аналогичные атаки
В последние месяцы атаки на цепочки поставок, направленные на открытые проекты и разработчиков, продолжают расти. TechCrunch сообщает, что на прошлой неделе была проведена еще одна кампания под названием Mini Shai-Hulud, которая проникла в несколько открытых проектов и распространила вредоносные обновления, в результате чего пострадал один из разработчиков OpenAI.
Дополнительная информация: в отчете также упоминается, что в марте этого года произошел еще один инцидент атаки на цепочку поставок, при этом хакеры, стоящие за ним, подозреваются в связи с Северной Кореей, что указывает на то, что учетные записи разработчиков и открытые каналы распространения становятся основной целью атак.