Forskare slog ut Glassworm-botnätverket efter att ha monterat ner dess motståndskraftiga kommando- och kontrollinfrastruktur under en samordnad cybersäkerhetsoperation. Malwarekampanjen riktade sig mot mjukvaruutvecklare genom skadliga paket, manipulerade kodförråd och komprometterade utvecklingsverktyg.
Säkerhetsexperter uppgav att Glassworm använde flera decentraliserade kommunikationsmetoder som utformats för att överleva traditionella nedtagningsförsök. Operationen visar samtidigt hur avancerade moderna supply chain-attacker mot utvecklare och mjukvaruekosystem har blivit.
Forskare genomförde omfattande nedtagning av infrastrukturen
CrowdStrike bekräftade att företaget samarbetade med Google och Shadowserver Foundation för att slå ut Glassworms infrastruktur. Utredare riktade samtidigt in sig på alla kommunikationskanaler som malwaren använde.
Forskare förklarade att malwaren byggde på en mycket motståndskraftig arkitektur som använde flera decentraliserade tekniker. Infrastrukturen ska bland annat ha innehållit:
- Solana-blockkedjetransaktioner
- Distribuerade BitTorrent-nätverk
- Google Calendar-tekniker för dead drops
- Traditionella VPS-servrar
Malwaren använde systemen för att ta emot kommandon och hämta skadliga filer samtidigt som den undvek enskilda felpunkter. Utredare varnade för att operationen inte skulle ha stoppats helt om forskare bara tagit bort en kommunikationskanal.
Genom att slå mot alla kommunikationsmetoder samtidigt förhindrade forskarna att infekterade system kunde ta emot nya instruktioner eller ladda ner ytterligare malware.
Glassworm riktade in sig på utvecklare och mjukvaruekosystem
Forskare uppgav att Glassworm-botnätverket främst riktade sig mot mjukvaruutvecklare och utvecklingsmiljöer. Kampanjen fokuserade kraftigt på kodförråd, molnplattformar, CI/CD-pipelines och mjukvarupaket.
Angriparna ska ha spridit malware genom flera olika metoder, bland annat:
- Skadliga VSCode-tillägg
- Komprometterade npm-paket
- Manipulerade Python-paket
- Stulna GitHub-uppgifter
- Bakdörrsförsedda kodförråd
Utredare uppgav att angriparna komprometterade hundratals GitHub-repositorier med hjälp av stulna utvecklaruppgifter. Forskare varnade för att attacker mot utvecklare skapar särskilt farliga supply chain-risker eftersom komprometterade system kan exponera produktionsmiljöer och kunder längre ner i leveranskedjan.
Malwaren ska ha påverkat Windows-, Linux- och macOS-system.
Forskare beskrev en ovanligt motståndskraftig infrastruktur
Säkerhetsforskare uppgav att Glassworm stack ut genom sin ovanliga infrastrukturdesign. I stället för att förlita sig på traditionella centraliserade kommandoservrar använde malwaren flera parallella kommunikationssystem.
Forskare förklarade att operationen använde Solana-blockkedjetransaktioner för att lagra kodad infrastrukturinformation. Malwaren använde också BitTorrent-baserade peer-to-peer-nätverk för att hämta konfigurationsdata utan att vara beroende av centraliserade system.
I vissa fall använde angriparna till och med titlar i Google Calendar-händelser för att dölja kodade kommando- och kontrolluppgifter. Forskare uppgav att teknikerna gjorde operationen betydligt svårare att slå ut med traditionella metoder.
Kampanjen visar hur hotaktörer fortsätter att använda decentraliserade tekniker för att göra malware mer motståndskraftig och minska exponeringen av infrastrukturen.
Supply chain-hot fortsätter att växa
Forskare varnade för att mjukvaruutvecklare fortfarande är attraktiva mål för cyberkriminella grupper. En enda komprometterad utvecklingsmiljö kan potentiellt påverka tusentals användare genom infekterade uppdateringar eller beroenden.
Supply chain-attacker fortsätter att öka eftersom betrodda mjukvaruekosystem skapar idealiska möjligheter för spridning av malware. Säkerhetsexperter rekommenderade starkare skydd av inloggningsuppgifter, striktare kontroll av kodförråd och bättre övervakning av tredjepartspaket och tillägg.
Organisationer bör också se över säkerhetspolicyer för utvecklingsmiljöer och införa starkare åtkomstkontroller för att minska exponeringen.
Slutsats
Glassworm-botnätverket slogs ut efter att forskare genomfört en samordnad nedtagning av dess motståndskraftiga kommando- och kontrollinfrastruktur. Malwareoperationen riktade sig mot utvecklare genom supply chain-attacker som använde skadliga paket, komprometterade kodförråd och infekterade utvecklingsverktyg.
Forskare varnade för att decentraliserade kommunikationssystem gör moderna malwarekampanjer svårare att stoppa. Operationen visar också hur viktigt det blivit att skydda utvecklingsmiljöer mot avancerade supply chain-hot.


0 svar till ”Glassworm-botnätverket slogs ut efter omfattande nedtagning av infrastrukturen”