Компания CrowdStrike, работая совместно с Google и некоммерческой организацией Shadowserver, обезвредила ботнет, который киберпреступники использовали для распространения вредоносного ПО и кражи паролей у разработчиков программного обеспечения с открытым исходным кодом.
Ботнет Glassworm уже два года атаковал всю цепочку поставок программного обеспечения с открытым исходным кодом.
В последние месяцы несколько хакерских групп нацеливались на разработчиков и проекты с открытым исходным кодом, чтобы распространять вредоносный софт среди компаний и организаций, которые используют опенсорсные решения. Атаки строятся на доверии, которое компании оказывают коду, размещённому на платформах разработки, в том числе GitHub.
«Противники больше не нацеливаются только на продукты, они нацеливаются на разработчиков, которые их создают. Разработчики представляют собой исключительно ценные цели: взлом одной рабочей станции может привести к катастрофическим последствиям в цепочке поставок, затрагивающим тысячи организаций и пользователей», — говорится в отчёте CrowdStrike.
Хакеры Glassworm использовали несколько стратегий для распространения своего вредоносного кода. К ним относятся публикация вредоносных расширений на площадке разработчиков; вредоносная реклама, когда хакеры платят за спонсируемые результаты поиска, чтобы обманом заставляют жертв загружать вредоносное ПО; и использование учётных данных, украденных в ходе предыдущих взломов.
В итоге хакерам удалось заразить более 300 репозиториев кода GitHub. CrowdStrike заявила, что смогла отключить четыре канала управления, используемых Glassworm, что ограничило доступ злоумышленников к заражённым компьютерам и остановило распространение вредоносного ПО.
По данным CrowdStrike, серверы управления и контроля использовали блокчейн Solana, пиринговую сеть BitTorrent, Google Calendar и виртуальные частные серверы.
Ранее в GitHub сообщили, что хакеры, взломавшие 3800 внутренних репозиториев платформы, получили доступ к ним через вредоносную версию расширения Nx Console для VS Code. Она была скомпрометирована за неделю до этого в результате атаки на цепочку поставок npm от TanStack. С ней связывают хакеров TeamPCP, которые организовывали крупные атаки на цепочки поставок, нацеленные на платформы для разработчиков кода, включая PyPI, NPM, GitHub и Docker, а также, совсем недавно, с кампанией «Mini Shai-Hulud» (которая также затронула двух сотрудников OpenAI).
ссылка на оригинал статьи https://habr.com/ru/articles/1041050/