La société américaine de cybersécurité CrowdStrike a déclaré avoir collaboré avec Google et l'organisation à but non lucratif Shadowserver Foundation pour démanteler avec succès le botnet Glassworm, qui est utilisé par les pirates informatiques pour diffuser des logiciels malveillants et voler les mots de passe des développeurs de logiciels open source.
Selon CrowdStrike, cette campagne vise à perturber les activités du groupe de cybercriminels derrière Glassworm, qui cible la chaîne d'approvisionnement en logiciels open source depuis deux ans.
Ceci est considéré comme l'une des menaces graves pour l'écosystème mondial du développement logiciel.
Récemment, de nombreux groupes de pirates informatiques ont continuellement attaqué des développeurs et des projets open source afin d'installer des logiciels malveillants sur des logiciels largement utilisés par les entreprises et les organisations.
Cette forme d'attaque est particulièrement dangereuse car elle exploite la confiance de la communauté technologique dans les plateformes de stockage de code source telles que GitHub.
CrowdStrike estime que les développeurs sont désormais des cibles de haute valeur pour les pirates informatiques. Il suffit de pénétrer avec succès dans l'ordinateur d'un programmeur pour que les pirates informatiques puissent installer un logiciel malveillant sur des logiciels ou des bibliothèques utilisés par des milliers d'entreprises, créant ainsi des attaques de chaîne d'approvisionnement à grande échelle.
Pour diffuser le logiciel malveillant, le groupe Glassworm a utilisé diverses méthodes. Ils publient des extensions malveillantes sur les boutiques d'applications pour les développeurs, déploient des publicités malveillantes pour tromper les utilisateurs afin qu'ils téléchargent des logiciels infectés par le logiciel malveillant, et profitent également des informations de connexion volées lors d'attaques précédentes pour voler les comptes des développeurs.
Après avoir contrôlé le compte, les pirates informatiques ont secrètement inséré du code malveillant dans des projets de logiciels open source. CrowdStrike a déclaré que ce groupe avait infecté plus de 300 sources de code sur GitHub avant d'être découvert.
Lors de la campagne de répression, CrowdStrike a désactivé quatre serveurs de contrôle et d'administration que Glassworm utilisait pour exploiter le réseau botnet. Cela a permis de couper la connexion entre les pirates et les appareils infectés, empêchant ainsi le risque de propagation de logiciels malveillants supplémentaires.
Selon CrowdStrike, l'infrastructure de contrôle de Glassworm est construite de manière assez sophistiquée, basée sur la blockchain Solana, le réseau pair à pair BitTorrent, Google Calendar et des serveurs privés virtuels afin de dissimuler les activités.
Les experts mettent en garde contre la tendance à l'augmentation des attaques contre les chaînes d'approvisionnement en logiciels. Rien que la semaine dernière, une campagne appelée "Mini Shai-Hulud" a attaqué de nombreux projets open source avec des mises à jour malveillantes. Au moins deux développeurs d'OpenAI auraient été piratés dans cette affaire.
