CrowdStrike和Google联手清剿黑客团伙,精准狙击盗用开源软件的黑产攻击链
【编者按】你是否想过,你每天使用的开源代码,可能正被黑客暗中投毒?近日,全球知名网络安全公司CrowdStrike联手谷歌及非营利组织Shadowserver,成功捣毁了一个名为“Glassworm”的恶意僵尸网络。这伙黑客专门针对开源软件开发者,在过去两年里持续攻击软件供应链,窃取密码并植入木马。更可怕的是,他们不仅偷代码,还会伪装成搜索结果,甚至盗用开发者账号在GitHub上“合法”投毒,最终感染了300多个代码仓库。今天,我们就来揭开这场无声的数字战争,看看黑客如何利用开发者的信任“钓鱼”,以及这场反击战为何如此关键。以下是CrowdStrike官方报道的编译全文——
CrowdStrike携手谷歌及非营利组织Shadowserver(该组织负责扫描监控网络攻击),成功捣毁了一个被网络犯罪分子用来向开源软件开发者推送恶意软件、窃取密码的僵尸网络。
据CrowdStrike透露,此次打击行动旨在扰乱被称为“Glassworm”的僵尸网络背后的黑客活动,这些黑客在过去两年间一直将矛头指向更广泛的开源软件供应链。
近几个月来,多个黑客组织将目标锁定在开发者和开源项目上,意图向使用这些软件的公司和组织推送恶意代码。这类攻击之所以屡屡得手,是因为它们利用了企业对其托管在GitHub等平台上的代码及代码背后开发人员的信任。
“对手不再仅仅攻击产品,他们开始攻击制造产品的人,”CrowdStrike在其行动报告中写道,“开发者代表着极其高价值的目标:攻陷一个开发者的工作站,就可能引发连锁反应,导致供应链被渗透,影响数千个下游组织及用户。”
Glassworm黑客使用了多种策略来传播恶意代码:包括在开发者使用的应用市场上发布恶意扩展;实施恶意广告(即黑客付费购买搜索结果赞助位,诱骗受害者下载恶意软件);以及利用先前攻击中窃取的凭证,劫持开发者账号并将恶意代码植入其项目中。
最终,正如CrowdStrike所言,黑客成功“污染”了超过300个GitHub代码仓库。
联系我们
如果您有关于Glassworm黑客组织或其他供应链攻击的更多信息,请通过非工作设备,安全地联系Lorenzo Franceschi-Bicchierai:Signal号码+1 917 257 1382,或通过Telegram、Keybase及Wire账号@lorenzofb,也可发送电子邮件。
CrowdStrike表示,他们成功切断了Glassworm黑客使用的四个命令控制通道,此举斩断了黑客对受感染计算机的访问权限,并阻止了他们继续投放恶意软件。
据CrowdStrike称,这些命令控制服务器依赖于Solana区块链、BitTorrent点对点网络、谷歌日历以及虚拟专用服务器。
目前尚不清楚CrowdStrike等机构是依据何种法律或技术权限执行这次清除行动的。在TechCrunch询问时,CrowdStrike发言人Kirsten Speas拒绝对公司博客以外的内容发表评论。
上周,黑客在一次名为“Mini Shai-Hulud”的不同攻击活动中攻陷了多个开源项目,并推送了恶意更新。至少有两位来自OpenAI的开发人员被该黑客组织攻破。在另一起发生在三月份的供应链攻击中,一名疑似朝鲜黑客劫持了数百万开发者使用的流行开源软件开发工具Axios。
本文由吉伊网原创发布,未经许可,不得转载!
本文链接:http://www.jkiyi.com/kx/49570.html
