La empresa estadounidense de seguridad cibernética CrowdStrike dijo que se ha coordinado con Google y la organización sin fines de lucro Shadowserver Foundation para desmantelar con éxito la red botnet Glassworm, que los hackers utilizan para distribuir software malicioso y robar las contraseñas de los desarrolladores de software de código abierto.
Según CrowdStrike, esta campaña tiene como objetivo interrumpir las operaciones del grupo cibernético detrás de Glassworm, que se ha dirigido a la cadena de suministro de software de código abierto durante los últimos dos años.
Esto se considera una de las serias amenazas para el ecosistema de desarrollo de software global.
En los últimos tiempos, muchos grupos de hackers han atacado continuamente a desarrolladores y proyectos de código abierto para instalar malware en software ampliamente utilizado por empresas y organizaciones.
Esta forma de ataque es particularmente peligrosa porque aprovecha la confianza de la comunidad tecnológica en las plataformas de almacenamiento de código fuente como GitHub.
CrowdStrike señala que los desarrolladores ahora se están convirtiendo en objetivos de alto valor de los hackers. Con solo infiltrarse con éxito en la computadora de un programador, los hackers pueden instalar malware en software o bibliotecas utilizadas por miles de empresas, creando así ataques a gran escala a la cadena de suministro.
Para difundir el malware, el grupo Glassworm utilizó muchos métodos diferentes. Publicaban extensiones maliciosas en las tiendas de aplicaciones para desarrolladores, implementaban publicidad maliciosa para engañar a los usuarios para que descargaran software infectado con malware, y aprovechaban la información de inicio de sesión robada en ataques anteriores para robar cuentas de desarrolladores.
Después de controlar la cuenta, los hackers insertaron en secreto malware en proyectos de software de código abierto. CrowdStrike dijo que este grupo infectó más de 300 almacenes de código fuente en GitHub antes de ser descubierto.
En la operación de barrido, CrowdStrike desactivó cuatro servidores de control y administración que Glassworm utilizaba para operar la red botnet. Esto ayudó a cortar la conexión entre los hackers y los dispositivos infectados, previniendo el riesgo de propagar más malware.
Según CrowdStrike, la infraestructura de control de Glassworm está construida de manera bastante sofisticada, basada en blockchain Solana, la red de pares BitTorrent, Google Calendar y servidores privados virtuales para ocultar actividades.
Los expertos advierten que la tendencia de los ataques a la cadena de suministro de software está aumentando considerablemente. Solo la semana pasada, una campaña llamada "Mini Shai-Hulud" atacó muchos proyectos de código abierto con actualizaciones maliciosas. Se cree que al menos dos desarrolladores de OpenAI fueron infiltrados en este incidente.
