米国のサイバーセキュリティ会社CrowdStrikeは、Googleおよび非営利団体Shadowserver Foundationと協力して、ハッカーが悪意のあるソフトウェアを拡散し、オープンソースソフトウェア開発者のパスワードを盗むために使用するボットネットGlasswormネットワークの摘発に成功したと発表しました。
CrowdStrikeによると、このキャンペーンは、過去2年間オープンソースソフトウェアのサプライチェーンを標的にしてきたGlasswormの背後にあるサイバー犯罪グループの活動を妨害することを目的としています。
これは、世界のソフトウェア開発エコシステムに対する深刻な脅威の1つと見なされています。
最近、多くのハッカーグループが、企業や組織が広く使用しているソフトウェアにマルウェアをインストールするために、開発者やオープンソースプロジェクトを継続的に攻撃しています。
この攻撃形式は、GitHubのようなソースコードストレージプラットフォームに対するテクノロジーコミュニティの信頼を利用するため、特に危険です。
CrowdStrikeは、開発者が現在、ハッカーの高い価値の標的になっていると指摘しています。ハッカーは、プログラマーのコンピューターに侵入することに成功するだけで、数千の企業が使用するソフトウェアまたはライブラリにマルウェアをインストールし、大規模なサプライチェーン攻撃を引き起こす可能性があります。
マルウェアを拡散するために、Glasswormグループはさまざまな方法を使用しました。彼らは、プログラマー向けのアプリストアに悪意のある拡張機能を投稿し、ユーザーを欺いてマルウェアに感染したソフトウェアをダウンロードさせるための悪意のある広告を展開し、以前の攻撃で盗まれたログイン情報を悪用して開発者のアカウントを盗みました。
アカウントを制御した後、ハッカーは秘密裏にオープンソースソフトウェアプロジェクトにマルウェアを挿入しました。CrowdStrikeは、このグループが発見される前にGitHubで300以上のソースコードストアを感染させたと述べています。
取り締まり作戦で、CrowdStrikeはGlasswormがボットネットネットワークを運用するために使用する4つの制御および管理サーバーを無効にしました。これにより、ハッカーと感染したデバイス間の接続を断ち切り、マルウェアの拡散のリスクを防ぐことができました。
CrowdStrikeによると、Glasswormの制御インフラストラクチャは非常に洗練されており、ブロックチェーンSolana、ピアツーピアネットワークBitTorrent、Googleカレンダー、および活動を隠蔽するための仮想プライベートサーバーに基づいています。
専門家は、ソフトウェアサプライチェーンへの攻撃の傾向が急増していると警告しています。先週だけで、「ミニ・シャイ・フルード」と呼ばれるキャンペーンが、悪意のあるアップデートを使用して多くのオープンソースプロジェクトを攻撃しました。OpenAIの少なくとも2人の開発者がこの事件で侵入されたとされています。
