CrowdStrike, en colaboración con Google y Shadowserver, una organización sin fines de lucro que escanea y monitorea Internet en busca de ciberataques, eliminó las botnets que los ciberdelincuentes usaban para difundir malware y robar contraseñas de desarrolladores de software de código abierto.
Eso eliminar operación tiene como objetivo interrumpir las actividades de los ciberdelincuentes detrás de la llamada botnet Glassworm, que ha estado apuntando a la cadena de suministro de software de código abierto más amplia durante dos años, según CrowdStrike.
En los últimos meses, varios grupos de piratas informáticos se han dirigido a desarrolladores y proyectos de código abierto para difundir software malicioso a empresas y organizaciones que luego utilizan el software. Estos ataques pueden ser efectivos porque explotan la confianza que las empresas depositan en el código alojado en plataformas como GitHub y los trabajadores detrás de ese código.
“Los adversarios ya no sólo apuntan a los productos, sino también a los desarrolladores que los crean”, escribió CrowdStrike en su informe sobre la operación de eliminación. “Los desarrolladores representan un objetivo único de alto valor: sacrificar una única estación de trabajo para desarrolladores puede resultar en un compromiso de la cadena de suministro que impacta a miles de organizaciones y usuarios intermedios”.
Los piratas informáticos Glassworm utilizan varias estrategias para extraer su código malicioso. Esto incluye la publicación de extensiones maliciosas en el mercado utilizadas por los desarrolladores; publicidad maliciosa, en la que los piratas informáticos pagan por resultados de búsqueda patrocinados que engañan a las víctimas para que descarguen malware; y el uso de credenciales robadas en ataques anteriores, lo que permite el secuestro de cuentas de desarrolladores y la instalación de malware en su código.
Al final, los piratas informáticos pudieron envenenar, como dice CrowdStrike, más de 300 repositorios de códigos de GitHub.
contáctanos
¿Tienes más información sobre el grupo de hacking Glassworm? ¿O sobre otros ataques a la cadena de suministro? Desde un dispositivo que no funciona, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o mediante Telegram, Keybase y Wire @lorenzofb, o por correo electrónico.
CrowdStrike dijo que pudo eliminar cuatro canales de comando y control utilizados por los piratas informáticos Glassworm, que cortaron el acceso de los piratas informáticos a las computadoras infectadas y les impidieron entregar más malware.
El servidor de comando y control se basa en la cadena de bloques Solana, la red peer-to-peer BitTorrent, Google Calendar y servidores privados virtuales, según CrowdStrike.
No está claro bajo qué autoridad legal o técnica operan CrowdStrike y otras partes para detener tales operaciones. Cuando TechCrunch le preguntó, la portavoz de CrowdStrike, Kirsten Speas, se negó a hacer comentarios más allá del blog de la compañía.
La semana pasada, los piratas informáticos comprometieron varios proyectos de código abierto que impulsaban actualizaciones maliciosas en una campaña de piratería diferente llamada “Mini Shai-Hulud”. Al menos dos desarrolladores de OpenAI han sido comprometidos por este grupo de hackers. En otro ataque a la cadena de suministro en marzo, un presunto hacker norcoreano secuestró la popular herramienta de desarrollo de software de código abierto Axios, utilizada por millones de desarrolladores.
Actualiza la cantidad de desarrolladores de OpenAI comprometidos e incluye comentarios de CrowdStrike.
Cuando compra a través de enlaces en nuestros artículos, es posible que ganemos una pequeña comisión. Esto no afecta nuestra independencia editorial.
