Злагоджена кіберборотьба: викрито та знешкоджено масштабний ботнет Glassworm
Компанії CrowdStrike та Google, за активної підтримки некомерційної організації Shadowserver, успішно нейтралізували ботнет Glassworm. Ця злочинна кіберінфраструктура використовувалася для цілеспрямованих атак на розробників програмного забезпечення, надаючи зловмисникам можливості для викрадення облікових даних та впровадження шкідливого коду в популярні проекти з відкритим вихідним кодом.
Джерело зображення: xAI
В рамках проведеної операції було виведено з ладу чотири командно-контрольні канали (Command and Control), що служили для керування зараженими пристроями та розповсюдження шкідливого програмного забезпечення. Як повідомляє видання TechCrunch, за два роки існування кіберзлочинне угрупування встигло скомпрометувати понад 300 репозиторіїв на платформі GitHub. Експерти CrowdStrike наголошують, що навіть компрометація робочої станції одного розробника може призвести до ланцюгової реакції, поставивши під загрозу тисячі організацій, які залежать від його програмних продуктів.
Методи поширення шкідливого коду ботнетом Glassworm
- Розміщення заражених розширень у маркетплейсах для розробників.
- Використання легітимних мереж інтернет-реклами для обману жертв із метою завантаження шкідливого ПЗ.
- Застосування викрадених облікових даних для отримання доступу до акаунтів розробників та впровадження шкідливого коду безпосередньо в їхні проекти.
Управління ботнетом здійснювалося за допомогою нетипової технічної архітектури. Командно-контрольні сервери взаємодіяли через блокчейн Solana, пірингову мережу BitTorrent, Google Calendar та віртуальні приватні сервери. Така складна схема ускладнювала моніторинг загроз, проте злагоджена співпраця між фахівцями дозволила ідентифікувати та локалізувати вразливі вузли. Наразі правові аспекти операції залишаються нерозголошеними, а представники CrowdStrike відмовилися від коментарів.
Ця операція проти Glassworm відбувається на тлі зростання кількості атак на екосистему програмного забезпечення з відкритим вихідним кодом. Минулого тижня угрупування Mini Shai-Hulud здійснило випуск шкідливих оновлень для низки проектів, що торкнулося, зокрема, розробників OpenAI. У березні подібний інцидент стався з популярною бібліотекою Axios: зловмисник, якого пов’язують із Північною Кореєю, отримав контроль над цим інструментом, яким користуються мільйони програмістів.
Порада від Soft Portal: Знешкодження ботнету Glassworm є значним успіхом у боротьбі з кіберзлочинністю, що особливо актуально для екосистеми відкритого програмного забезпечення. Ця новина підкреслює важливість обережності розробників та використання надійних інструментів безпеки для захисту своїх проектів від потенційних загроз. Слідкуйте за оновленнями програмного забезпечення та будьте пильними щодо підозрілих запитів чи пропозицій.