CrowdStrike e Google derrubam botnet usado por hackers para atingir desenvolvedores de software em ataques à cadeia de suprimentos

A CrowdStrike, trabalhando com o Google e a Shadowserver, uma organização sem fins lucrativos que verifica e monitora a Internet em busca de ataques cibernéticos, derrubou uma botnet que os cibercriminosos usavam para enviar malware e roubar senhas de desenvolvedores de software de código aberto.

O operação de remoção tinha o objetivo de interromper as atividades dos cibercriminosos por trás do chamado botnet Glassworm, que tem como alvo a cadeia de fornecimento de software de código aberto mais ampla há dois anos, de acordo com CrowdStrike.

Nos últimos meses, vários grupos de hackers têm como alvo desenvolvedores e projetos de código aberto para enviar software malicioso a empresas e organizações que, por sua vez, usam esse software. Esses ataques podem ser eficazes porque exploram a confiança que as empresas depositam no código hospedado em plataformas como o GitHub e nos trabalhadores por trás desse código.

“Os adversários não têm mais como alvo apenas os produtos, eles têm como alvo os desenvolvedores que os constroem”, escreveu CrowdStrike em seu relatório sobre a operação de remoção. “Os desenvolvedores representam alvos exclusivos de alto valor: comprometer a estação de trabalho de um único desenvolvedor pode resultar em um comprometimento da cadeia de suprimentos que impacta milhares de organizações e usuários downstream.”

Os hackers do Glassworm usaram diversas estratégias para divulgar seu código malicioso. Isso incluiu a publicação de extensões maliciosas em um mercado usado por desenvolvedores; por malvertising – onde hackers pagam por resultados de pesquisa patrocinados que enganam as vítimas para que baixem malware; e o uso de credenciais roubadas em hacks anteriores, o que permitiu o sequestro de contas de desenvolvedores e a implantação de malware em seus códigos.

No final, os hackers conseguiram envenenar – como disse CrowdStrike – mais de 300 repositórios de código GitHub.

A CrowdStrike disse que foi capaz de derrubar quatro canais de comando e controle usados ​​pelos hackers Glassworm, o que cortou o acesso dos hackers aos computadores infectados e os impediu de entregar mais malware.

Os servidores de comando e controle dependiam do blockchain Solana, da rede peer-to-peer BitTorrent, do Google Calendar e de servidores virtuais privados, de acordo com CrowdStrike.

Não está claro sob qual autoridade legal ou técnica a CrowdStrike e outros operaram para encerrar a operação. Um porta-voz da CrowdStrike não comentou imediatamente.

Semana passada, hackers comprometeram vários projetos de código aberto que lançou atualizações maliciosas em uma campanha de hackers diferente chamada “Mini Shai-Hulud”. Um desenvolvedor OpenAI foi comprometido por este grupo de hackers. Em outro ataque à cadeia de suprimentos em março, um suposto hacker norte-coreano sequestrou a popular ferramenta de desenvolvimento de software de código aberto Axiosque é usado por milhões de desenvolvedores.