CrowdStrike, Google və internetdə kibertəhlükəsizlik hücumlarını skan edən və izləyən qeyri-kommersiya təşkilatı Shadowserver ilə əməkdaşlıq şəraitində, kiber cinayətkarların zərərli proqram yaymaq və açıq mənbə proqram inkişafçılarının parollarını oğurlamaq üçün istifadə etdiyi botneti sıradan çıxardı.

CrowdStrike-a görə, bu əməliyyatın məqsədi Glassworm adlanan botnetin arxasındakı kibercinayətkarların fəaliyyətini pozmaq və iki ildir açıq mənbə proqram təminatı təchizat zəncirini hədəf alan bu qrupun işini dayandırmaq idi.

Son aylarda bir neçə hacker qrupu şirkət və təşkilatların istifadə etdiyi proqramlara zərərli proqram yaymaq üçün inkişafçıları və açıq mənbə layihələrini hədəf götürüb. Bu hücumlar şirkətlərin GitHub kimi platformalarda yerləşən və hesab etdikləri kodlara inamından sui-istifadə etməklə daha təsirli olur.

CrowdStrike öz hesabatında bildirdi ki, düşmənlər artıq yalnız məhsulları deyil, onları hazırlayan inkişafçıları da hədəf alır. "İnkişafçılar unikaldır və yüksək dəyər daşıyan hədəflərdir: bir tək inkişafçının iş stansiyasına müdaxilə təchizat zəncirində minlərlə təşkilat və istifadəçiyə təsir göstərə biləcək zəncirvari pozuntulara səbəb olur."

Glassworm hackerləri zərərli kodu yaymaq üçün bir neçə üsuldan istifadə etdi. Bunlara inkişafçıların bazarından zərərli uzantıların yerləşdirilməsi, sponsorlu axtarış nəticələri vasitəsilə zərərli proqram yükləməyə aldananları aldadaraq yayılan reklamlar və əvvəlki hücumlarda oğurlanmış giriş məlumatları ilə inkişafçı hesablarının ələ keçirilməsi və onların koduna zərərli proqram yerləşdirilməsi daxildir.

Nəticədə, hackerlər CrowdStrike-ın ifadəsi ilə desək, 300-dən çox GitHub kod deposunu zəhərləyə bildi.

Əlaqə

CrowdStrike Glassworm hackerlərinin istifadə etdiyi dörd idarəetmə kanalını sıradan çıxara bildi. Bu, zərərli proqramların daha çox yayılmasının qarşısını aldı və infektsiyaya məruz qalmış kompüterlərə olan giriş imkanlarını kəsdi.

Bu idarəetmə serverləri Solana blokçeyn texnologiyası, BitTorrent şəbəkəsi, Google Calendar və virtual özəl serverlərdən istifadə edirdi.

CrowdStrike və həmkarlarının bu əməliyyatı hansı hüquqi və texniki əsaslarla həyata keçirdiyi barədə məlumat verilməyib. Şirkətin sözçüsü dərhal açıqlama vermədi.

Ötən həftə başqa bir kampaniyada hackerlər "Mini Shai-Hulud" adlı qrup tərəfindən çoxsaylı açıq mənbə layihələr ələ keçirilərək zərərli yeniləmələr yayılmışdı. OpenAI inkişafçısı da bu qrup tərəfindən ələ keçirilmişdi. Mart ayında isə şübhəli Şimali Koreya mənşəli hacker məşhur açıq mənbə inkişaf aləti Axios-u ələ keçirərək milyonlarla inkişafçı tərəfindən istifadə olunan proqram təminatına zərərli proqram yerləşdirmişdi.