Glassworm botnet leállítva
A CrowdStrike, a Google és a Shadowserver Foundation közös műveletben lekapcsolta a Glassworm botnet infrastruktúráját, amely szoftverfejlesztőket és open source ellátási láncokat célzott világszerte. A támadók kompromittált npm- és Python-csomagokat, rosszindulatú VSCode extensionöket és fertőzött GitHub repositorykat használtak credential theftre és malware-terjesztésre.
A Glassworm különösen fejlett, decentralizált C2 infrastruktúrát alkalmazott, Solana blockchain tranzakciókat, BitTorrent DHT-hálózatot, publikus calendaring szolgáltatásokat és VPS-szervereket kombinált a túlélőképesség növelésére. A CrowdStrike szerint ezért mind a négy kommunikációs csatornát egyszerre kellett lekapcsolni, különben az operátorok gyorsan újraépíthették volna a hálózatot.
A botnet célpontjai fejlesztők voltak, mert hozzáfértek source code repositorykhoz, CI/CD pipeline-okhoz és cloud környezetekhez. A kutatók szerint több mint 300 GitHub repository kompromittálódott ellopott fejlesztői tokeneken keresztül, és a malware Windows, Linux és macOS rendszereken is működött.
