Atacurile asupra lanțului de aprovizionare software au devenit o amenințare tot mai mare în ultimele luni. Hackerii vizează dezvoltatorii și proiectele open-source pentru a introduce software malițios în companii și organizații care, la rândul lor, utilizează acel software. Aceste atacuri sunt eficiente deoarece exploatează încrederea pe care companiile o acordă codului găzduit pe platforme precum GitHub și dezvoltatorilor din spatele acestuia.
„Adversarii nu mai vizează doar produsele, ci și dezvoltatorii care le construiesc”, a scris CrowdStrike în raportul său despre operațiunea de demontare. „Dezvoltatorii reprezintă ținte de mare valoare: compromiterea stației de lucru a unui singur dezvoltator poate duce la un compromis în lanțul de aprovizionare care afectează mii de organizații și utilizatori din aval.”
Hackerii din spatele botnetului Glassworm au folosit mai multe strategii pentru a distribui codul malițios. Acestea includ publicarea de extensii malițioase pe o piață utilizată de dezvoltatori, malvertisingul – unde hackerii plătesc pentru rezultate sponsorizate în căutări care păcălesc victimele să descarce malware – și utilizarea de credențiale furate în atacuri anterioare, care au permis deturnarea conturilor de dezvoltatori și plantarea de malware în codul lor. În final, hackerii au reușit să „otrăvească” – așa cum a spus CrowdStrike – peste 300 de depozite de cod GitHub.
CrowdStrike a reușit să demoleze patru canale de comandă și control utilizate de hackerii Glassworm, ceea ce a întrerupt accesul hackerilor la computerele infectate și a oprit livrarea de malware suplimentar. Aceste servere de comandă și control se bazau pe blockchain-ul Solana, rețeaua peer-to-peer BitTorrent, Google Calendar și servere virtuale private, potrivit CrowdStrike. Nu este clar pe ce autoritate legală sau tehnică au acționat CrowdStrike și ceilalți pentru a demonta operațiunea. Un purtător de cuvânt al CrowdStrike nu a făcut imediat comentarii.
Săptămâna trecută, hackerii au compromis mai multe proiecte open-source care au distribuit actualizări malițioase într-o campanie de hacking diferită, numită „Mini Shai-Hulud”. Un dezvoltator OpenAI a fost compromis de acest grup de hackeri. Într-un alt atac asupra lanțului de aprovizionare din martie, un hacker suspectat a fi nord-coreean a deturnat popularul instrument de dezvoltare software open-source Axios, utilizat de milioane de dezvoltatori.
Aceste evenimente subliniază o tendință îngrijorătoare: atacurile asupra lanțului de aprovizionare software devin din ce în ce mai sofisticate și mai frecvente. Dezvoltatorii, adesea considerați gardienii securității cibernetice, devin ei înșiși ținte principale. Compromiterea unui singur dezvoltator poate avea efecte în cascadă, afectând mii de organizații și utilizatori. Este esențial ca dezvoltatorii și companiile să fie vigilenți, să utilizeze autentificare cu mai mulți factori, să verifice integritatea codului și să fie conștienți de tacticile de inginerie socială și malvertising.
De ce este important:
Această operațiune de demontare a botnetului Glassworm este crucială deoarece evidențiază vulnerabilitatea lanțului de aprovizionare software și necesitatea unei colaborări strânse între companii de securitate, giganți tech și organizații non-profit pentru a proteja ecosistemul digital. Atacurile asupra dezvoltatorilor nu doar că compromit proiecte individuale, dar pot avea consecințe devastatoare asupra întregii infrastructuri software, afectând milioane de utilizatori. Prin neutralizarea acestor amenințări, se protejează integritatea și încrederea în software-ul open-source, care stă la baza multor tehnologii moderne.
