CrowdStrike, en collaboration avec Google et Shadowserver, une organisation à but non lucratif qui analyse et surveille Internet à la recherche de cyberattaques, a supprimé un botnet que les cybercriminels utilisaient pour diffuser des logiciels malveillants et voler les mots de passe des développeurs de logiciels open source.
L’opération de retrait avait pour objectif de perturber les activités des cybercriminels derrière le botnet Glassworm, qui ciblent la chaîne d’approvisionnement plus large des logiciels open source depuis deux ans, selon CrowdStrike.
Ces derniers mois, plusieurs groupes de hackers ont ciblé des développeurs et des projets open source pour diffuser des logiciels malveillants auprès des entreprises et des organisations qui, à leur tour, utilisent ces logiciels. Ces attaques peuvent être efficaces car elles exploitent la confiance que les entreprises accordent au code hébergé sur des plateformes comme GitHub, ainsi que les travailleurs derrière ce code.
« Les adversaires ne ciblent plus seulement les produits, ils ciblent les développeurs qui les construisent », a écrit CrowdStrike dans son rapport sur l’opération de retrait. « Les développeurs représentent des cibles uniques à forte valeur : la compromission du poste de travail d’un seul développeur peut se transformer en une compromission de la chaîne d’approvisionnement qui affecte des milliers d’organisations et d’utilisateurs en aval. »
Les pirates de Glassworm ont utilisé plusieurs stratégies pour diffuser leur code malveillant. Cela comprenait la publication d’extensions malveillantes sur une place de marché utilisée par les développeurs ; publicité malveillante : les pirates informatiques paient pour des résultats de recherche sponsorisés qui incitent les victimes à télécharger des logiciels malveillants ; et en utilisant des informations d’identification volées lors de piratages précédents, ce qui a permis le détournement de comptes de développeurs et l’implantation de logiciels malveillants dans leur code.
En fin de compte, les pirates ont réussi à empoisonner – comme le dit CrowdStrike – plus de 300 référentiels de code GitHub.
Contactez-nous
Avez-vous plus d’informations sur le groupe de hacking Glassworm ? Ou d’autres attaques contre la chaîne d’approvisionnement ? Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram, Keybase et Wire @lorenzofb, ou par e-mail.
CrowdStrike a déclaré avoir réussi à supprimer quatre canaux de commande et de contrôle utilisés par les pirates informatiques de Glassworm, ce qui a coupé l’accès des pirates aux ordinateurs infectés et les a empêchés de diffuser davantage de logiciels malveillants.
Les serveurs de commande et de contrôle s’appuyaient sur la blockchain Solana, le réseau peer-to-peer BitTorrent, Google Calendar et des serveurs privés virtuels, selon CrowdStrike.
On ne sait pas clairement sous quelle autorité juridique ou technique CrowdStrike et d’autres ont agi pour mettre fin à l’opération. Interrogée par TechCrunch, la porte-parole de CrowdStrike, Kirsten Speas, a refusé de commenter au-delà du blog de l’entreprise.
La semaine dernière, des pirates ont compromis plusieurs projets open source qui ont diffusé des mises à jour malveillantes dans le cadre d’une autre campagne de piratage appelée « Mini Shai-Hulud ». Au moins deux développeurs OpenAI ont été compromis par ce groupe de pirates. Lors d’une autre attaque contre la chaîne d’approvisionnement en mars, un pirate informatique nord-coréen présumé a détourné le populaire outil de développement de logiciels open source Axios, utilisé par des millions de développeurs.
Mise à jour du nombre de développeurs OpenAI compromis et inclusion des commentaires de CrowdStrike.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
