قامت CrowdStrike، بالتعاون مع Google وShadowserver، وهي منظمة غير ربحية تقوم بمسح ومراقبة الإنترنت بحثًا عن الهجمات الإلكترونية، بإزالة شبكة الروبوتات التي يستخدمها مجرمو الإنترنت لدفع البرامج الضارة وسرقة كلمات المرور من مطوري البرامج مفتوحة المصدر.
كان هدف عملية الإزالة هو تعطيل أنشطة مجرمي الإنترنت الذين يقفون وراء ما يسمى بـ Glassworm botnet، الذين كانوا يستهدفون سلسلة توريد البرمجيات مفتوحة المصدر الأوسع لمدة عامين، وفقًا لـ CrowdStrike.
في الأشهر الأخيرة، استهدفت العديد من مجموعات القرصنة المطورين والمشاريع مفتوحة المصدر لدفع البرامج الضارة إلى الشركات والمؤسسات التي تستخدم هذه البرامج بدورها. يمكن أن تكون هذه الهجمات فعالة لأنها تستغل الثقة التي تضعها الشركات في التعليمات البرمجية المستضافة على منصات مثل GitHub، والعاملين الذين يقفون وراء هذا الرمز.
وكتبت CrowdStrike في تقريرها حول عملية الإزالة: “لم يعد الخصوم يستهدفون المنتجات فحسب، بل يستهدفون المطورين الذين يصنعونها”. “يمثل المطورون أهدافًا عالية القيمة بشكل فريد: يمكن أن يؤدي اختراق محطة عمل مطور واحد إلى تسوية سلسلة التوريد التي تؤثر على الآلاف من المؤسسات والمستخدمين النهائيين.”
استخدم قراصنة Glassworm عدة إستراتيجيات لإخراج شفرتهم الخبيثة. وشمل ذلك نشر ملحقات ضارة في السوق الذي يستخدمه المطورون؛ عن طريق الإعلانات الضارة – حيث يدفع المتسللون مقابل نتائج البحث المدعومة التي تخدع الضحايا لتنزيل البرامج الضارة؛ واستخدام بيانات الاعتماد المسروقة في عمليات الاختراق السابقة، والتي سمحت باختطاف حسابات المطورين وزرع برامج ضارة في أكوادهم البرمجية.
في النهاية، تمكن المتسللون من تسميم أكثر من 300 مستودع كود GitHub، على حد تعبير CrowdStrike.
اتصل بنا
هل لديك المزيد من المعلومات حول مجموعة القرصنة Glassworm؟ أو عن هجمات سلسلة التوريد الأخرى؟ من جهاز غير خاص بالعمل، يمكنك الاتصال بـ Lorenzo Franceschi-Bicchierai بشكل آمن على Signal على الرقم +1 917 257 1382، أو عبر Telegram وKeybase وWire@lorenzofb، أو عبر البريد الإلكتروني.
قالت CrowdStrike إنها تمكنت من إزالة أربع قنوات للقيادة والتحكم يستخدمها قراصنة Glassworm، مما أدى إلى قطع وصول المتسللين إلى أجهزة الكمبيوتر المصابة ومنعهم من تقديم المزيد من البرامج الضارة.
تعتمد خوادم القيادة والتحكم على سلسلة Solana blockchain، وشبكة BitTorrent نظير إلى نظير، وتقويم Google، والخوادم الخاصة الافتراضية، وفقًا لـ CrowdStrike.
ليس من الواضح ما هي السلطة القانونية أو الفنية التي تعمل تحتها CrowdStrike وآخرون لإزالة العملية. ولم يعلق المتحدث باسم CrowdStrike على الفور.
في الأسبوع الماضي، قام المتسللون باختراق العديد من المشاريع مفتوحة المصدر التي دفعت بتحديثات ضارة في حملة قرصنة مختلفة كانت تسمى “Mini Shai-Hulud”. تم اختراق أحد مطوري OpenAI من قبل هذه المجموعة من المتسللين. وفي هجوم آخر على سلسلة التوريد في شهر مارس، اختطف متسلل كوري شمالي مشتبه به أداة تطوير البرمجيات مفتوحة المصدر الشهيرة Axios، والتي يستخدمها ملايين المطورين.
عندما تقوم بالشراء من خلال الروابط الموجودة في مقالاتنا، قد نكسب عمولة صغيرة. هذا لا يؤثر على استقلالنا التحريري.
اكتشاف المزيد من في بي دبليو الشامل
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
