CrowdStrike đã phối hợp cùng Google và tổ chức an ninh mạng Shadowserver để tiêu diệt một mạng botnet chuyên nhắm vào các nhà phát triển phần mềm nguồn mở. Trong hai năm qua, mạng này liên tục sử dụng tài khoản nhà phát triển và chuỗi phân phối mã để phân phối phần mềm độc hại và đánh cắp mật khẩu.
Liên tục tấn công nhà phát triển trong hai năm
Cuộc tấn công này nhắm vào mạng lưới tấn công có tên Glassworm. CrowdStrike cho biết, các cuộc tấn công dạng này đã không còn chỉ nhắm vào các sản phẩm phần mềm, mà đang trực tiếp nhắm vào các nhà phát triển viết và duy trì mã nguồn, vì chỉ cần một thiết bị của nhà phát triển bị xâm phạm, nó có thể lan rộng dọc chuỗi cung ứng đến hàng loạt người dùng và tổ chức phía dưới.
More than 300 GitHub repositories have been compromised
Theo CrowdStrike, kẻ tấn công chủ yếu lan truyền mã độc thông qua ba cách chính, bao gồm đăng các tiện ích mở rộng độc hại trên thị trường tiện ích mà các nhà phát triển sử dụng, mua quảng cáo tìm kiếm để lừa người dùng tải về, và sử dụng các thông tin xác thực bị đánh cắp trước đó để chiếm quyền kiểm soát tài khoản nhà phát triển.
- Các phần mở rộng độc hại đã được đăng lên thị trường nhà phát triển
- Quảng cáo tìm kiếm bị sử dụng để lừa đảo tải về phần mềm độc hại
- Tài khoản bị đánh cắp đã được sử dụng để cài đặt mã độc
Sau khi chiếm quyền kiểm soát tài khoản, kẻ tấn công đã chèn mã độc vào kho lưu trữ dự án. CrowdStrike cho biết, cuối cùng đã có hơn 300 kho lưu trữ GitHub bị nhiễm độc.
Control channel liên quan đến các dịch vụ như Solana
CrowdStrike cho biết đã vô hiệu hóa bốn kênh chỉ huy và kiểm soát mà Glassworm sử dụng, làm suy yếu khả năng truy cập của kẻ tấn công vào các thiết bị bị nhiễm và ngăn chặn việc chúng tải xuống thêm các chương trình độc hại.
Báo cáo cho biết, các cơ sở hạ tầng kiểm soát này phụ thuộc vào nhiều kênh khác nhau, bao gồm blockchain Solana, mạng ngang hàng BitTorrent, Google Calendar và các máy chủ ảo riêng. Tuy nhiên, báo cáo không nêu rõ hành động này được thực hiện dựa trên cơ sở pháp lý hay phương thức kỹ thuật cụ thể nào.
Các cuộc tấn công tương tự gần đây tiếp tục xuất hiện
Trong vài tháng gần đây, các cuộc tấn công chuỗi cung ứng nhắm vào các dự án mã nguồn mở và nhà phát triển đã liên tục gia tăng. TechCrunch cho biết, tuần trước một chiến dịch tấn công khác mang tên Mini Shai-Hulud đã xâm nhập vào nhiều dự án mã nguồn mở và đẩy các bản cập nhật độc hại, trong đó một nhà phát triển của OpenAI cũng bị ảnh hưởng.
Thông tin bổ sung: Bài báo cũng đề cập đến một vụ tấn công chuỗi cung ứng khác vào tháng 3 năm nay, với tin rằng tin tặc đứng sau vụ việc có liên quan đến Triều Tiên, cho thấy tài khoản nhà phát triển và các đường dẫn phân phối mã nguồn mở đang trở thành mục tiêu chính của các cuộc tấn công.