CrowdStrike, junto con Google y la organización sin fines de lucro Shadowserver, desmanteló una botnet que cibercriminales usaban para distribuir malware y robar contraseñas a desarrolladores de software open source.

La operación de takedown buscó interrumpir las actividades del grupo detrás de la denominada botnet Glassworm, que llevaba dos años apuntando a la cadena de suministro del software open source, según CrowdStrike.

¿Por qué los atacantes apuntan a developers?

En los últimos meses, varios grupos de hackers han apuntado a developers y a proyectos open source para empujar software malicioso hacia empresas y organizaciones que terminan usando ese código. Estos ataques son efectivos porque explotan la confianza que las compañías depositan en repositorios hospedados en plataformas como GitHub y en los trabajadores detrás de ese código.

"Los adversarios ya no apuntan solo a los productos, apuntan a los desarrolladores que los construyen", escribió CrowdStrike en el informe de la operación. "Los developers son objetivos de alto valor único: comprometer el workstation de un solo developer puede escalar a una compromiso de cadena de suministro que impacta a miles de organizaciones y usuarios downstream."

¿Cómo operaba Glassworm?

Los hackers de Glassworm combinaron varias estrategias para distribuir su código malicioso:

  • Publicación de extensiones maliciosas en un marketplace usado por developers.
  • Malvertising: pagar para que resultados patrocinados en buscadores engañen a víctimas y las hagan descargar malware.
  • Reutilización de credenciales robadas en hackeos previos, que les permitían secuestrar cuentas de developers e insertar malware en su código.

El resultado: los atacantes lograron envenenar más de 300 repositorios de código en GitHub, según describió CrowdStrike.

¿Qué se logró con el takedown?

CrowdStrike informó que pudo dar de baja cuatro canales de comando y control usados por Glassworm, lo que cortó el acceso de los atacantes a los equipos infectados y los detuvo de seguir distribuyendo malware.

Los servidores de C2 se apoyaban en una arquitectura híbrida poco común para una botnet: la blockchain de Solana, la red peer-to-peer BitTorrent, Google Calendar y servidores virtuales privados, según CrowdStrike.

No está claro bajo qué autoridad legal o técnica operaron CrowdStrike y los demás participantes para ejecutar el takedown. Consultado por TechCrunch, la portavoz de CrowdStrike, Kirsten Speas, declinó hacer comentarios más allá del blog oficial.

El contexto: una racha de ataques a la supply chain

La semana pasada, hackers comprometieron varios proyectos open source que empujaron updates maliciosos en una campaña distinta apodada Mini Shai-Hulud. Al menos dos developers de OpenAI fueron comprometidos por ese grupo.

En otro ataque a la cadena de suministro, en marzo, un atacante sospechoso de operar para Corea del Norte secuestró Axios, una herramienta de desarrollo open source usada por millones de developers.