CrowdStrike, in collaborazione con Google e Shadowserver, un’organizzazione no-profit che scansiona e monitora Web per individuare eventuali attacchi informatici, ha bloccato una botnet utilizzata dai criminali informatici per diffondere malware e rubare password agli sviluppatori di software program open supply.
IL operazione di rimozione aveva l’obiettivo di ostacolare le attività dei criminali informatici dietro la cosiddetta botnet Glassworm, che secondo CrowdStrike da due anni prendono di mira la più ampia catena di fornitura di software program open supply.
Negli ultimi mesi, diversi gruppi di hacker hanno preso di mira sviluppatori e progetti open supply per distribuire software program dannoso advert aziende e organizzazioni che a loro volta utilizzano quel software program. Questi attacchi possono essere efficaci perché sfruttano la fiducia che le aziende ripongono nel codice ospitato su piattaforme come GitHub e nei lavoratori dietro quel codice.
“Gli avversari non prendono più di mira solo i prodotti, ma anche gli sviluppatori che li realizzano”, ha scritto CrowdStrike nel suo rapporto sull’operazione di rimozione. “Gli sviluppatori rappresentano obiettivi di altissimo valore: compromettere la workstation di un singolo sviluppatore può comportare una compromissione della catena di fornitura che ha un impatto su migliaia di organizzazioni e utenti a valle”.
Gli hacker Glassworm hanno utilizzato various strategie per diffondere il loro codice dannoso. Ciò includeva la pubblicazione di estensioni dannose su un mercato utilizzato dagli sviluppatori; dal malvertising, dove gli hacker pagano per risultati di ricerca sponsorizzati che inducono le vittime a scaricare malware; e l’utilizzo di credenziali rubate in precedenti attacchi hacker, che hanno consentito il dirottamento degli account degli sviluppatori e l’inserimento di malware nel loro codice.
Alla nice, gli hacker sono riusciti advert avvelenare – come ha affermato CrowdStrike – più di 300 repository di codici GitHub.
Contattaci
Hai ulteriori informazioni sul gruppo di hacking Glassworm? O su altri attacchi alla catena di fornitura? Da un dispositivo non lavorativo, puoi contattare Lorenzo Franceschi-Bicchierai in modo sicuro su Sign al numero +1 917 257 1382, oppure tramite Telegram, Keybase e Wire @lorenzofb, o tramite e-mail.
CrowdStrike ha affermato di essere stato in grado di eliminare quattro canali di comando e controllo utilizzati dagli hacker Glassworm, che hanno bloccato l’accesso degli hacker ai laptop infetti e impedito loro di fornire altro malware.
Secondo CrowdStrike, i server di comando e controllo si affidavano alla blockchain di Solana, alla rete peer-to-peer BitTorrent, a Google Calendar e a server privati virtuali.
Non è chiaro sotto quale autorità legale o tecnica CrowdStrike e altri abbiano operato per fermare l’operazione. Un portavoce di CrowdStrike non ha commentato immediatamente.
La settimana scorsa, gli hacker hanno compromesso diversi progetti open supply che distribuivano aggiornamenti dannosi in una diversa campagna di hacking chiamata “Mini Shai-Hulud”. Uno sviluppatore OpenAI è stato compromesso da questo gruppo di hacker. In un altro attacco alla catena di approvvigionamento a marzo, un presunto hacker nordcoreano ha violato il popolare strumento di sviluppo software program open supply Axios, utilizzato da milioni di sviluppatori.
Quando acquisti tramite i hyperlink presenti nei nostri articoli, potremmo guadagnare una piccola commissione. Ciò non pregiudica la nostra indipendenza editoriale.
