A CrowdStrike e o Google, com o apoio da organização sem fins lucrativos Shadowserver, desmantelaram a botnet Glassworm, que era usada por hackers para atacar desenvolvedores de software. A infraestrutura dos cibercriminosos permitia que eles roubassem senhas e injetassem código malicioso em projetos populares de código aberto.
Fonte da imagem: xAI
Durante a operação, quatro canais de comando e controle (C&C) foram desativados, os quais os atacantes usavam para controlar dispositivos infectados e distribuir malware. O TechCrunch apurou que o grupo infectou mais de 300 repositórios do GitHub ao longo de dois anos, mas, como enfatizam os especialistas da CrowdStrike, comprometer a estação de trabalho de apenas um desenvolvedor pode levar a uma reação em cadeia e à infecção de milhares de organizações que utilizam seus softwares.
Os hackers da botnet Glassworm usaram diversos métodos para distribuir seu código malicioso: publicando extensões infectadas em um mercado de desenvolvedores, explorando redes legítimas de publicidade online para enganar as vítimas e levá-las a baixar seus softwares, e usando credenciais roubadas para sequestrar contas de desenvolvedores e injetar código malicioso diretamente em seus projetos.
O controle da botnet dependia de uma arquitetura técnica não convencional. Os servidores de comando e controle se comunicavam por meio do blockchain Solana, da rede peer-to-peer BitTorrent, do Google Agenda e de servidores virtuais privados (VPS). Essa configuração dificultou o monitoramento de ameaças, mas a coordenação entre especialistas possibilitou a localização dos nós vulneráveis. A base legal da operação permanece confidencial, e representantes da CrowdStrike se recusaram a comentar.
A operação Glassworm ocorreu em meio a crescentes ataques ao ecossistema de código aberto. Na semana passada, o grupo Mini Shai-Hulud lançou atualizações maliciosas para diversos projetos, incluindo um desenvolvedor da OpenAI. Em março, um incidente semelhante ocorreu com a popular biblioteca Axios.Um hacker suspeito de ter ligações com a Coreia do Norte obteve o controle de uma ferramenta usada por milhões de programadores.