CrowdStrike trabajó con Google y Shadowserver, una organización sin fines de lucro que escanea y monitorea los ciberataques en Internet, para detener una botnet que los ciberdelincuentes utilizaban para difundir malware y robar contraseñas de desarrolladores de software de código abierto.
Según CrowdStrike, el objetivo de la operación de eliminación era interrumpir las actividades de los ciberdelincuentes detrás de la llamada botnet Glassworm, que lleva dos años atacando a una amplia gama de cadenas de suministro de software de código abierto.
En los últimos meses, varios grupos de piratas informáticos se han dirigido a desarrolladores y proyectos de código abierto para entregar software malicioso a empresas y organizaciones para su uso. Estos ataques pueden ser efectivos porque explotan la confianza que las empresas depositan en el código alojado en plataformas como GitHub y los trabajadores detrás de ese código.
«Los atacantes amenazantes ya no se dirigen sólo a los productos, sino a los desarrolladores que crean esos productos», escribió CrowdStrike en un informe sobre las operaciones de eliminación. «Los desarrolladores representan un objetivo singularmente de alto valor. Comprometer la estación de trabajo de un solo desarrollador puede provocar un compromiso en la cadena de suministro, impactando a miles de organizaciones y usuarios intermedios».
Los piratas informáticos de Glassworm utilizaron varias estrategias para eliminar códigos maliciosos. Esto incluye la publicación de extensiones maliciosas en los mercados utilizados por los desarrolladores. Publicidad maliciosa: la práctica de los piratas informáticos que pagan por resultados de búsqueda patrocinados para engañar a las víctimas para que descarguen malware. Las credenciales robadas de ataques anteriores también permitieron el secuestro de cuentas de desarrolladores y la implantación de malware en el código.
Al final, los piratas informáticos pudieron comprometer más de 300 repositorios de códigos de GitHub, dijo CrowdStrike.
consulta
¿Quieres más información sobre el grupo de piratería Glassworm? ¿O sobre otros ataques a la cadena de suministro? Puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura desde un dispositivo que no sea del trabajo en Signal (+1 917 257 1382) o en Telegram, Keybase y Wire @lorenzofb, o por correo electrónico.
CrowdStrike anunció que pudo cerrar cuatro canales de comando y control utilizados por los piratas informáticos Glassworm, cortando el acceso de los piratas informáticos a las computadoras infectadas e impidiéndoles distribuir más malware.
Según CrowdStrike, el servidor de comando y control se basó en la cadena de bloques Solana, la red peer-to-peer BitTorrent, Google Calendar y servidores privados virtuales.
No está claro qué autoridad legal o técnica tenían CrowdStrike y otros para detener la operación. En respuesta a las preguntas de TechCrunch, la portavoz de CrowdStrike, Kirsten Speas, se negó a hacer comentarios más allá del blog de la compañía.
La semana pasada, los piratas informáticos comprometieron varios proyectos de código abierto y publicaron actualizaciones maliciosas en otra campaña de piratería llamada «Mini Shai-Hulud». Al menos dos desarrolladores de OpenAI se vieron comprometidos por este grupo de piratas informáticos. En otro ataque a la cadena de suministro en marzo, presuntos piratas informáticos norcoreanos se apoderaron de Axios, una popular herramienta de desarrollo de software de código abierto utilizada por millones de desarrolladores.
Se actualizó el número de desarrolladores de OpenAI comprometidos y se agregaron comentarios de CrowdStrike.
Si compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta la independencia editorial.
Source link
