CrowdStrike у співпраці з Google та інтернет-безпечною організацією Shadowserver знищила ботнет, що спеціалізувався на атаках на розробників відкритого програмного забезпечення. Протягом останніх двох років цей ботнет постійно використовував облікові записи розробників та ланцюжки розповсюдження коду для розповсюдження шкідливого програмного забезпечення та крадіжки паролів.
Напади на розробників протягом двох років
Ця операція спрямована на мережу атак під назвою Glassworm. CrowdStrike зазначає, що такі атаки більше не обмежуються лише програмними продуктами, а тепер безпосередньо націлені на розробників, які пишуть та підтримують код, оскільки компрометація одного пристрою розробника може призвести до поширення вздовж ланцюга поставок до великої кількості нижчих користувачів та організацій.
Більше 300 репозиторіїв GitHub заражено
За даними CrowdStrike, зловмисники основним чином поширюють шкідливий код трьома способами: публікацією зловмисних плагінів на ринку розширень, які використовують розробники, купівлею пошукової реклами для нав’язування завантажень та використанням раніше вкрадених облікових даних для захоплення облікових записів розробників.
- Зловмисні розширення розміщені на ринку розробників
- Рекламні об’яви використовуються для нав’язування завантаження троянів
- Зламані облікові записи використовувалися для вставлення шкідливого коду
Після отримання контролю над обліковим записом атакуючі внесли шкідливий код до сховища проекту. За даними CrowdStrike, у підсумку було забруднено понад 300 сховищ GitHub.
Контрольний канал стосується сервісів, таких як Solana
CrowdStrike повідомила, що перервала 4 канали командування та контролю, які використовував Glassworm, що зменшило здатність нападників отримувати доступ до заражених пристроїв і завадило їм завантажувати додаткові шкідливі програми.
Згідно з звітом, ці інфраструктурні системи залежать від кількох каналів, включаючи блокчейн Solana, мережу BitTorrent, Google Calendar та віртуальні приватні сервери. Однак у звіті не зазначено, на підставі яких саме правових повноважень або технічних методів було проведено цю операцію.
Недавно знову відбулися подібні атаки
Протягом останніх кількох місяців кількість атак на ланцюжок поставок відкритих проектів і розробників постійно зростає. TechCrunch зазначає, що на минулому тижні ще одна хвиля атак під назвою Mini Shai-Hulud захопила кілька відкритих проектів і розповсюдила шкідливі оновлення, серед яких постраждав один із розробників OpenAI.
Додаткова інформація: у звіті також зазначається, що у березні цього року відбулася ще одна атака на ланцюжок постачань, за якою, як вважають, стоїть хакерська група, пов’язана з Північною Кореєю, що свідчить про те, що облікові записи розробників та відкриті канали розповсюдження стають головними цілями атак.