CrowdStrikeとGoogleがソフトウェア開発者を標的とするボットネットを解体
原題: CrowdStrike and Google take down botnet used by hackers to target software developers in supply chain attacks
なぜ重要か
オープンソースソフトウェアのサプライチェーン攻撃は企業のセキュリティに深刻な脅威をもたらしており、セキュリティ業界の対応強化が急務
CrowdStrikeがGoogleとShadowserverと連携し、2年間にわたってオープンソースソフトウェアのサプライチェーンを標的としてきたGlasswormボットネットを解体した。同ボットネットは開発者のパスワード窃取やマルウェア配布に使用され、300以上のGitHubリポジトリが汚染された。
CrowdStrikeは、Googleと非営利組織Shadowserverと協力して、Glasswormと呼ばれるボットネットの解体作戦を実施した。このボットネットは、サイバー犯罪者がマルウェアを配布し、オープンソースソフトウェア開発者からパスワードを盗むために使用していた。
Glasswormの背後にいる犯罪者グループは、2年間にわたってオープンソースソフトウェアのサプライチェーンを標的としてきた。近月、複数のハッキンググループが開発者やオープンソースプロジェクトを標的とし、GitHubなどのプラットフォームに対する信頼を悪用してマルウェアを企業や組織に配布している。
CrowdStrikeによると、「敵対者はもはや製品だけでなく、それを構築する開発者を標的としている」とし、開発者は特に価値の高い標的であり、一人の開発者のワークステーションが侵害されると、数千の下流組織やユーザーに影響を与えるサプライチェーン侵害に発展する可能性があると説明した。
Glasswormハッカーは複数の戦略を使用してマルウェアを配布していた。これには、開発者が使用するマーケットプレイスでの悪意のある拡張機能の公開、マルバタイジング(被害者を騙してマルウェアをダウンロードさせるスポンサー検索結果への支払い)、過去のハッキングで盗んだ認証情報を使用した開発者アカウントの乗っ取りとコードへのマルウェア埋め込みが含まれる。
結果的に、ハッカーは300以上のGitHubコードリポジトリを汚染することに成功した。CrowdStrikeは、Solanaブロックチェーン、BitTorrentピアツーピアネットワーク、Google Calendar、仮想プライベートサーバーに依存していた4つのコマンド・アンド・コントロールチャネルを解体し、ハッカーの感染したコンピュータへのアクセスを遮断し、追加のマルウェア配布を停止した。
先週には、別のハッキングキャンペーン「Mini Shai-Hulud」でOpenAI開発者が侵害されるなど、サプライチェーン攻撃が継続している。