Forskere slo ut Glassworm-botnettet etter å ha demontert den robuste kommando- og kontrollinfrastrukturen under en koordinert cybersikkerhetsoperasjon. Malwarekampanjen rettet seg mot programvareutviklere gjennom skadelige pakker, manipulerte kodebiblioteker og kompromitterte utviklingsverktøy.

Sikkerhetseksperter opplyste at Glassworm brukte flere desentraliserte kommunikasjonsmetoder som var utviklet for å overleve tradisjonelle nedtaksforsøk. Operasjonen viser samtidig hvor sofistikerte moderne supply chain-angrep mot utviklere og programvareøkosystemer har blitt.

Forskere gjennomførte omfattende nedtakning av infrastrukturen

CrowdStrike bekreftet at selskapet samarbeidet med Google og Shadowserver Foundation for å slå ut Glassworms infrastruktur. Etterforskere rettet samtidig innsatsen mot alle kommunikasjonskanalene malwaren brukte.

Forskere forklarte at malwaren bygget på en svært robust arkitektur som benyttet flere desentraliserte teknologier. Infrastrukturen skal blant annet ha inkludert:

  • Solana-blokkjede-transaksjoner
  • Distribuerte BitTorrent-nettverk
  • Google Calendar-teknikker for dead drops
  • Tradisjonelle VPS-servere

Malwaren brukte systemene til å motta kommandoer og hente skadelige filer samtidig som den unngikk enkelte feilpunkter. Etterforskere advarte om at operasjonen ikke ville ha stoppet helt dersom forskerne bare hadde fjernet én kommunikasjonskanal.

Ved å slå til mot alle kommunikasjonsmetodene samtidig hindret forskerne infiserte systemer i å motta nye instruksjoner eller laste ned ytterligere malware.

Glassworm rettet seg mot utviklere og programvareøkosystemer

Forskere opplyste at Glassworm-botnettet hovedsakelig rettet seg mot programvareutviklere og utviklingsmiljøer. Kampanjen fokuserte tungt på kodebiblioteker, skyplattformer, CI/CD-pipelines og programvarepakker.

Angriperne skal ha distribuert malware gjennom flere ulike metoder, blant annet:

  • Skadelige VSCode-utvidelser
  • Kompromitterte npm-pakker
  • Manipulerte Python-pakker
  • Stjålne GitHub-legitimasjoner
  • Bakdørsinfiserte kodebiblioteker

Etterforskere opplyste at angriperne kompromitterte hundrevis av GitHub-repositorier ved hjelp av stjålne utviklerkontoer. Forskere advarte om at angrep mot utviklere skaper spesielt farlige supply chain-risikoer fordi kompromitterte systemer kan eksponere produksjonsmiljøer og kunder lenger ned i leverandørkjeden.

Malwaren skal ha påvirket Windows-, Linux- og macOS-systemer.

Forskere beskrev en svært robust infrastruktur

Sikkerhetsforskere opplyste at Glassworm skilte seg ut på grunn av den uvanlige infrastrukturen. I stedet for å være avhengig av tradisjonelle sentraliserte kommandoservere brukte malwaren flere parallelle kommunikasjonssystemer.

Forskere forklarte at operasjonen brukte Solana-blokkjede-transaksjoner til å lagre kodet infrastrukturdatasett. Malwaren benyttet også BitTorrent-baserte peer-to-peer-nettverk for å hente konfigurasjonsdata uten å være avhengig av sentraliserte systemer.

I enkelte tilfeller brukte angriperne til og med titler i Google Calendar-hendelser for å skjule kodede kommando- og kontrollopplysninger. Forskere opplyste at teknikkene gjorde operasjonen betydelig vanskeligere å slå ut med tradisjonelle metoder.

Kampanjen viser hvordan trusselaktører fortsetter å bruke desentraliserte teknologier for å gjøre malware mer robust og redusere eksponeringen av infrastrukturen.

Supply chain-trusler fortsetter å vokse

Forskere advarte om at programvareutviklere fortsatt er attraktive mål for cyberkriminelle grupper. Ett enkelt kompromittert utviklingsmiljø kan potensielt påvirke tusenvis av brukere gjennom infiserte oppdateringer eller avhengigheter.

Supply chain-angrep fortsetter å øke fordi pålitelige programvareøkosystemer skaper ideelle muligheter for spredning av malware. Sikkerhetseksperter anbefalte sterkere beskyttelse av legitimasjon, strengere kontroll av kodebiblioteker og bedre overvåking av tredjepartspakker og utvidelser.

Organisasjoner bør også gjennomgå sikkerhetspolicyer for utviklingsmiljøer og innføre sterkere tilgangskontroller for å redusere eksponeringen.

Konklusjon

Glassworm-botnettet ble slått ut etter at forskere gjennomførte en koordinert nedtakning av den robuste kommando- og kontrollinfrastrukturen. Malwareoperasjonen rettet seg mot utviklere gjennom supply chain-angrep som brukte skadelige pakker, kompromitterte kodebiblioteker og infiserte utviklingsverktøy.

Forskere advarte om at desentraliserte kommunikasjonssystemer gjør moderne malwarekampanjer vanskeligere å stoppe. Operasjonen viser også hvor viktig det har blitt å sikre utviklingsmiljøer mot avanserte supply chain-trusler.


0 responses to “Glassworm-botnettet ble slått ut etter omfattende nedtakning av infrastrukturen”