CrowdStrike, en colaboración con Google y Shadowserver, una organización sin fines de lucro que escanea y monitorea Internet en busca de ciberataques, desmanteló una botnet que los ciberdelincuentes utilizaban para difundir malware y robar contraseñas de desarrolladores de software de código abierto.
La operación de eliminación tenía como objetivo interrumpir las actividades de los ciberdelincuentes detrás de la llamada botnet Glassworm, que han estado apuntando a la cadena de suministro de software de código abierto más amplia durante dos años, según CrowdStrike.
En los últimos meses, varios grupos de hackers se han dirigido a desarrolladores y proyectos de código abierto para enviar software malicioso a empresas y organizaciones que a su vez utilizan ese software. Estos ataques pueden ser efectivos porque explotan la confianza que las empresas depositan en el código alojado en plataformas como GitHub y los trabajadores detrás de ese código.
«Los adversarios ya no solo apuntan a los productos, sino a los desarrolladores que los crean», escribió CrowdStrike en su informe sobre la operación de eliminación. «Los desarrolladores representan objetivos excepcionalmente de alto valor: comprometer la estación de trabajo de un solo desarrollador puede provocar un compromiso en la cadena de suministro que afecte a miles de organizaciones y usuarios intermedios».
Los piratas informáticos Glassworm utilizaron varias estrategias para eliminar su código malicioso. Esto incluyó la publicación de extensiones maliciosas en un mercado utilizado por desarrolladores; mediante publicidad maliciosa, en la que los piratas informáticos pagan por resultados de búsqueda patrocinados que engañan a las víctimas para que descarguen malware; y el uso de credenciales robadas en ataques anteriores, lo que permitió el secuestro de cuentas de desarrolladores y la instalación de malware en su código.
Al final, los piratas informáticos pudieron envenenar, como dijo CrowdStrike, más de 300 repositorios de códigos de GitHub.
Contáctenos
¿Tienes más información sobre el grupo de hacking Glassworm? ¿O sobre otros ataques a la cadena de suministro? Desde un dispositivo que no sea del trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o mediante Telegram, Keybase y Wire @lorenzofb, o por correo electrónico.
CrowdStrike dijo que pudo eliminar cuatro canales de comando y control utilizados por los piratas informáticos Glassworm, que cortaron el acceso de los piratas informáticos a las computadoras infectadas y les impidieron entregar más malware.
Según CrowdStrike, los servidores de comando y control se basaban en la cadena de bloques Solana, la red peer-to-peer BitTorrent, Google Calendar y servidores privados virtuales.
No está claro bajo qué autoridad legal o técnica operaron CrowdStrike y otros para acabar con la operación. Un portavoz de CrowdStrike no hizo comentarios de inmediato.
La semana pasada, los piratas informáticos comprometieron varios proyectos de código abierto que publicaron actualizaciones maliciosas en una campaña de piratería diferente que se llamó «Mini Shai-Hulud». Este grupo de piratas informáticos comprometió a un desarrollador de OpenAI. En otro ataque a la cadena de suministro en marzo, un presunto hacker norcoreano secuestró la popular herramienta de desarrollo de software de código abierto Axios, que utilizan millones de desarrolladores.
Cuando compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta nuestra independencia editorial.
