:

Szerző: Dömös Zsuzsanna

2026. május 28. 12:41

Fejlesztőket célzó botnetet kapcsolt le a CrowdStrike és a Google

Sikerült semlegesíteni a „Glassworm” nevű botnet infrastruktúráját, amit kifejezetten szoftverfejlesztők ellen irányuló ellátási lánc támadásokhoz használtak ki az elkövetők. A szoftverellátási lánc egyre többször jelent kritikus támadási felületet.

A Google, a CrowdStrike és a kibertámadásokat monitorozó Shadowserver nevű nonprofit közös erővel kapcsoltak le egy elsődlegesen malware-terjesztésre és jelszólopásra használt zombihálózatot. A kampány érdekessége, hogy kimondottan open source szoftverek fejlesztőit célozták a Glassworm botnet mögött álló kiberbűnözők annak reményében, hogy megbízhatónak tűnő szoftverekbe fecskendezhetnek kártékony kódokat.

A Crowdstrike elemzése szerint az elmúlt hónapok során számos hackercsoport célozta meg a fejlesztőket és egyes open source projekteket, hogy hatékonyabban juttathassák el kártékony kódjaikat az adott szoftvert használó cégekhez és szervezetekhez. A módszer hatékonysága abban rejlik, hogy a GitHub és ahhoz hasonló platformokon tárolt kódok általánosságban kevésszer adnak okot a gyanakvásra, az open source ökoszisztémával szemben jelen van egy általános bizalom.

sourcecode

A frontendes szakma tündöklése és alkonya

A modern JS keretrendszerek önálló kompetenciává emelték a frontend-fejlesztést. Most viszont úgy tűnik, hogy ez a szakma kikophat a piacról.

A frontendes szakma tündöklése és alkonya A modern JS keretrendszerek önálló kompetenciává emelték a frontend-fejlesztést. Most viszont úgy tűnik, hogy ez a szakma kikophat a piacról.

Az elkövetők az akcióban többféle támadási vektort kombináltak. Főként rosszindulatú VS Code kiegészítőket, kompromittált npm és Python csomagokat, terjesztettek, vagy rosszindulatú programok letöltésére ösztönző szponzorált csalóhirdetéseket helyeztek el a fejlesztők által használt piactereken. Emellett a korábban történt adatszivárgások során ellopott hitelesítő adatokat is felhasználták, ami lehetővé tette a fejlesztői fiókok eltérítését és a rosszindulatú kódok injektálását a kódjaikba. A biztonsági szakértők szerint összességében több mint 300 repository vált érintetté, ami már jelentős ellátásilánc-kockázatot jelent.

A Glassworm infrastruktúrája kifejezetten ellenállónak bizonyult a Crowdstrike szerint a többrétegű architektúra miatt. Végül sikerült leállítani négy command-and-control (C2) csatornát, amivel megakadályozta a hackerek hozzáférését a fertőzött számítógépekhez. A csatornák a Solana blokklánc-alapú jelzéseket, peer-to-peer hálózatokat, felhőszolgáltatásokat (pl. Google Naptár) és hagyományos VPS szervereket használtak.

A szolgáltató szerint az eset főként annak a figyelmeztetésnek ad nyomatékot, hogy a kiberbűnözők már nem feltétlen adott termékeket vagy szervezeteket céloznak meg, hanem egyes esetekben a fejlesztőkön keresztül próbálnak célt érni a szoftvergyártási folyamatban. A fejlesztők különösen magas értékű célpontoknak számítanak, mivel egyetlen munkaállomás feltörésén keresztül lehetővé válik az ellátási lánc kompromittálása, akár több ezer szervezetet és felhasználót érintve.

a címlapról