CrowdStrike и Google нейтрализовали ботнет Glassworm для атак на цепочки поставок ПО

Компания CrowdStrike совместно с Google и некоммерческой организацией Shadowserver провела операцию по нейтрализации ботнета Glassworm. Эта инфраструктура на протяжении двух лет использовалась злоумышленниками для распространения вредоносного ПО и кражи учетных данных разработчиков программного обеспечения с открытым исходным кодом. Основной целью операции стало пресечение активности группировки, которая фокусировалась на атаках через цепочки поставок (supply chain attacks).

Тактика атакующих и компрометация репозиториев

Методика работы Glassworm демонстрирует смещение фокуса киберпреступников: вместо прямой атаки на конечные продукты они переключились на самих разработчиков. Компрометация рабочей станции одного девелопера позволяет внедрить вредоносный код в проекты, которые впоследствии будут использованы тысячами организаций. Такой подход эксплуатирует доверие к коду, размещенному на профильных платформах, в частности на GitHub.

Для достижения своих целей хакеры применяли комбинацию методов: публикацию вредоносных расширений в специализированных маркетплейсах, malvertising (покупку рекламных мест в поисковой выдаче для перенаправления жертв на страницы скачивания вирусов), а также использование ранее украденных учетных данных. В результате этих действий злоумышленники смогли внедрить вредоносный код более чем в 300 репозиториев на GitHub.

Нейтрализация управляющей инфраструктуры

В ходе технического расследования CrowdStrike удалось заблокировать четыре канала управления (C2-серверов), через которые осуществлялась координация ботнета. Это действие лишило злоумышленников доступа к инфицированным устройствам и возможности распространения новых компонентов ПО. Примечательно, что архитектура C2 была достаточно сложной и распределенной: она опиралась на блокчейн Solana, P2P-сеть BitTorrent, сервисы Google Calendar и традиционные виртуальные частные серверы.

На текущий момент представители CrowdStrike не раскрывают правовые и технические подробности того, на каких основаниях проводилось отключение элементов инфраструктуры, ссылаясь исключительно на опубликованный официальный отчет.

Рост числа атак на цепочки поставок

Инцидент с Glassworm дополняет серию недавних атак на цепочки поставок ПО. Неделей ранее была зафиксирована кампания «Mini Shai-Hulud», в рамках которой хакеры скомпрометировали ряд open-source проектов, выпустив вредоносные обновления; в число пострадавших попали как минимум два разработчика OpenAI. Ранее, в марте, была зафиксирована атака на популярный инструмент разработки Axios, когда злоумышленники, предположительно связанные с северокорейскими структурами, получили несанкционированный доступ к репозиторию, используемому миллионами пользователей.