Компании CrowdStrike и Google при поддержке некоммерческой организации Shadowserver обезвредили ботнет Glassworm, использовавшийся хакерами для атак на разработчиков программного обеспечения. Инфраструктура киберпреступников позволяла красть пароли и внедрять вредоносный код в популярные проекты с открытым исходным кодом.
Источник изображения: xAI
В ходе операции были отключены четыре командно-контрольных канала (Command and Control), через которые злоумышленники управляли заражёнными устройствами и распространяли вредоносное ПО. Как стало известно TechCrunch, группировка за два года успела заразить более 300 репозиториев на GitHub, но, как подчёркивают эксперты CrowdStrike, компрометация рабочей станции только одного разработчика может привести к цепной реакции и заражению тысяч организаций, использующих его ПО.
Хакеры из ботнета Glassworm применяли несколько методов для распространения вредоносного кода: публиковали заражённые расширения в маркетплейсе для разработчиков, использовали легитимные сети интернет-рекламы, чтобы обманом заставить жертв скачать своё ПО, а также использовали украденные учётные данные для захвата аккаунтов разработчиков и внедрения вредоносного кода прямо непосредственно в их проекты.
Управление ботнетом опиралось на нестандартную техническую архитектуру. Командно-контрольные серверы взаимодействовали через блокчейн Solana, пиринговую сеть BitTorrent, Google Calendar и виртуальные частные серверы. Подобная схема усложняла мониторинг угроз, но координация между специалистами позволила локализовать уязвимые узлы. При этом правовые основания для проведения операции остаются закрытыми, а представители CrowdStrike воздержались от комментариев.
Операция против Glassworm прошла на фоне участившихся атак на экосистему открытого ПО. На прошлой неделе группировка Mini Shai-Hulud выпустила вредоносные обновления для нескольких проектов, затронув в том числе разработчика OpenAI. В марте аналогичный инцидент произошёл с популярной библиотекой Axios: подозреваемый в связях с Северной Кореей злоумышленник получил контроль над инструментом, которым пользуются миллионы программистов.