CrowdStrike 與谷歌及互聯網安全機構 Shadowserver 聯手,摧毀了一個專門針對開源軟體開發者的僵尸網絡。該網絡過去兩年持續利用開發者帳戶和程式碼分發鏈路投放惡意程式,並竊取密碼。
兩年內持續攻擊開發者
此次行動針對名為 Glassworm 的攻擊網絡。CrowdStrike 表示,此類攻擊已不再僅針對軟體產品,而是直接瞄準編寫和維護代碼的開發者,因為單一開發者設備失守,就可能沿供應鏈擴散至大量下游用戶和機構。
300+ GitHub 倉庫受污染
根據 CrowdStrike 的說法,攻擊者主要透過三種方式傳播惡意代碼,包括在開發者使用的擴展市場發布惡意外掛、購買搜尋廣告誘導下載,以及利用此前竊取的憑證接管開發者帳戶。
- 惡意擴展已被投放至開發者市場
- 搜尋廣告被用於誘導下載木馬
- 被盜帳戶被用於植入惡意代碼
在取得帳戶控制權後,攻擊者將惡意代碼寫入項目倉庫。CrowdStrike 称,最終有超過 300 個 GitHub 代碼倉庫受到污染。
控制通道涉及 Solana 等服務
CrowdStrike 表示,已切斷 Glassworm 使用的 4 條指揮與控制通道,削弱了攻擊者對受感染設備的存取能力,也阻止其繼續下發更多惡意程式。
報告稱,這些控制基礎設施依賴多個渠道,包括 Solana 區塊鏈、BitTorrent 點對點網絡、Google Calendar 以及虛擬專用伺服器。不過,報導未說明此次行動具體依據何種法律授權或技術方式完成。
近期同類攻擊持續出現
過去幾個月,針對開源項目和開發者的供應鏈攻擊持續增加。TechCrunch 提到,上周另一輪名為 Mini Shai-Hulud 的攻擊活動入侵了多個開源項目,並推送惡意更新,其中一名 OpenAI 開發者也受到影響。
補充資訊:報導還提到,今年 3 月曾發生另一宗供應鏈攻擊事件,背後的駭客被懷疑與朝鮮有關,顯示開發者帳戶和開源分發鏈路正成為攻擊重點。