Fejlesztőket célzó botnetet kapcsolt le a CrowdStrike és a Google
Sikerült semlegesíteni a „Glassworm” nevű botnet infrastruktúráját, amit kifejezetten szoftverfejlesztők ellen irányuló ellátási lánc támadásokhoz használtak ki az elkövetők. A szoftverellátási lánc egyre többször jelent kritikus támadási felületet.
A Google, a CrowdStrike és a kibertámadásokat monitorozó Shadowserver nevű nonprofit közös erővel kapcsoltak le egy elsődlegesen malware-terjesztésre és jelszólopásra használt zombihálózatot. A kampány érdekessége, hogy kimondottan open source szoftverek fejlesztőit célozták a Glassworm botnet mögött álló kiberbűnözők annak reményében, hogy megbízhatónak tűnő szoftverekbe fecskendezhetnek kártékony kódokat.
A Crowdstrike elemzése szerint az elmúlt hónapok során számos hackercsoport célozta meg a fejlesztőket és egyes open source projekteket, hogy hatékonyabban juttathassák el kártékony kódjaikat az adott szoftvert használó cégekhez és szervezetekhez. A módszer hatékonysága abban rejlik, hogy a GitHub és ahhoz hasonló platformokon tárolt kódok általánosságban kevésszer adnak okot a gyanakvásra, az open source ökoszisztémával szemben jelen van egy általános bizalom.
Az elkövetők az akcióban többféle támadási vektort kombináltak. Főként rosszindulatú VS Code kiegészítőket, kompromittált npm és Python csomagokat, terjesztettek, vagy rosszindulatú programok letöltésére ösztönző szponzorált csalóhirdetéseket helyeztek el a fejlesztők által használt piactereken. Emellett a korábban történt adatszivárgások során ellopott hitelesítő adatokat is felhasználták, ami lehetővé tette a fejlesztői fiókok eltérítését és a rosszindulatú kódok injektálását a kódjaikba. A biztonsági szakértők szerint összességében több mint 300 repository vált érintetté, ami már jelentős ellátásilánc-kockázatot jelent.
A Glassworm infrastruktúrája kifejezetten ellenállónak bizonyult a Crowdstrike szerint a többrétegű architektúra miatt. Végül sikerült leállítani négy command-and-control (C2) csatornát, amivel megakadályozta a hackerek hozzáférését a fertőzött számítógépekhez. A csatornák a Solana blokklánc-alapú jelzéseket, peer-to-peer hálózatokat, felhőszolgáltatásokat (pl. Google Naptár) és hagyományos VPS szervereket használtak.
A szolgáltató szerint az eset főként annak a figyelmeztetésnek ad nyomatékot, hogy a kiberbűnözők már nem feltétlen adott termékeket vagy szervezeteket céloznak meg, hanem egyes esetekben a fejlesztőkön keresztül próbálnak célt érni a szoftvergyártási folyamatban. A fejlesztők különösen magas értékű célpontoknak számítanak, mivel egyetlen munkaállomás feltörésén keresztül lehetővé válik az ellátási lánc kompromittálása, akár több ezer szervezetet és felhasználót érintve.