CrowdStrike и Google обезвредили ботнет Glassworm

Компания CrowdStrike, работая совместно с Google и некоммерческой организацией Shadowserver, обезвредила ботнет, который киберпреступники использовали для распространения вредоносного ПО и кражи паролей у разработчиков программного обеспечения с открытым исходным кодом.

Ботнет Glassworm уже два года атаковал всю цепочку поставок программного обеспечения с открытым исходным кодом.

В последние месяцы несколько хакерских групп нацеливались на разработчиков и проекты с открытым исходным кодом, чтобы распространять вредоносный софт среди компаний и организаций, которые используют опенсорсные решения. Атаки строятся на доверии, которое компании оказывают коду, размещённому на платформах разработки, в том числе GitHub.

«Противники больше не нацеливаются только на продукты, они нацеливаются на разработчиков, которые их создают. Разработчики представляют собой исключительно ценные цели: взлом одной рабочей станции может привести к катастрофическим последствиям в цепочке поставок, затрагивающим тысячи организаций и пользователей», — говорится в отчёте CrowdStrike.

Хакеры Glassworm использовали несколько стратегий для распространения своего вредоносного кода. К ним относятся публикация вредоносных расширений на площадке разработчиков; вредоносная реклама, когда хакеры платят за спонсируемые результаты поиска, чтобы обманом заставить жертв загружать вредоносное ПО; и использование учётных данных, украденных в ходе предыдущих взломов.

В итоге хакерам удалось заразить более 300 репозиториев кода GitHub. CrowdStrike заявила, что смогла отключить четыре канала управления, используемых Glassworm, что ограничило доступ злоумышленников к заражённым компьютерам и остановило распространение вредоносного ПО.

По данным CrowdStrike, серверы