Ключевые выводы
- Операция CrowdStrike совместно с Google и Shadowserver вывела из строя четыре канала управления ботнетом Glassworm, использовавшего Solana, BitTorrent и Google Calendar.
- Хакеры отравили более 300 репозиториев на GitHub, внедряя вредоносные расширения, malvertising и украденные учётные данные.
- Атаки на разработчиков открытого кода показывают, что компрометация отдельного программиста может привести к масштабному заражению цепочки поставок.
Сейчас в новостях о киберугрозах всё чаще слышно о том, что «преступники атакуют разработчиков». Эта статья расскажет, как ведущие компании совместно разоблачили один из самых опасных ботнетов последних лет и какие выводы стоит сделать всем, кто пишет код.
Что такое ботнет Glassworm и почему он был опасен
Glassworm — это ботнет, который в течение двух лет тайно заражал проекты с открытым исходным кодом. Хакеры использовали его, чтобы распространять вредоносные программы и воровать пароли разработчиков. По данным CrowdStrike, более 300 репозиториев на GitHub стали «отравленными»— в них добавлялся скрытый код, который после сборки мог украсть данные или установить бекдоры.
Главная идея злоумышленников — использовать доверие, которое компании и пользователи возлагают на открытый код. Если один разработчик прикрепит вредоносный фрагмент к своей библиотеке, эта библиотека может попасть в тысячи продуктов по всему миру.
Для управления заражёнными машинами ботнет полагался на четыре канала команд‑и‑контроля: блокчейн Solana, пир‑то‑пир сеть BitTorrent, публичный календарь Google Calendar и обычные VPS‑серверы. Такой «мульти‑канальный» подход затруднял обнаружение и блокировку.
Схемы распространения включали:
- Публикацию вредоносных расширений в marketplace, где их находили разработчики.
- Malvertising — платные рекламные ссылки, которые вели к загрузке заражённого исполняемого файла.
- Кражу учётных данных из предыдущих атак, что позволяло захватывать аккаунты GitHub и внедрять код напрямую.
Как устроилась совместная операция по захвату
В начале 2024 года компании CrowdStrike, Google и некоммерческая организация Shadowserver объединили усилия, чтобы поймать и нейтрализовать ботнет. Их задача — «разорвать» каналы связи между хакерами и заражёнными машинами.
Shadowserver, как международный мониторинг‑центр, предоставил данные о подозрительных IP‑адресах и доменах, связанных с Glassworm. Google помог выявить и заблокировать злоупотребляемый календарь, а также предоставил аналитические возможности для отслеживания активности в облаке.
CrowdStrike использовал собственные инструменты форензики и Threat Intelligence, чтобы локализовать четыре C2‑серверa. После подтверждения их принадлежности к ботнету команды согласовали юридические и технические процедуры по их отключению.
Результат: все четыре канала команд‑и‑контроля были выведены из строя, доступ хакеров к заражённым системам закрыт, а распространение нового вредоносного кода остановлено.
Последствия для цепочки поставок открытого кода
Атака Glassworm доказала, что уязвимость в одном репозитории может стать точкой входа для тысяч компаний. Вредоносный код, внедрённый в популярные библиотеки, автоматически попадает в приложения, используемые в финансовом, медицинском и государственном секторах.
Для организаций это значит, что простое сканирование зависимостей уже недостаточно. Нужно внедрять:
- Регулярные аудиты репозиториев на наличие подозрительных изменений.
- Двухфакторную аутентификацию и ограниченный доступ к критическим аккаунтам.
- Мониторинг цепочки поставок с помощью сервисов, которые проверяют подписи пакетов и их репутацию.
После операции CrowdStrike подчеркнул, что разработчики — «уникальная цель», потому что их рабочие станции часто подключены к корпоративным сетям и могут стать точкой распространения.
Сравнение с другими недавними атаками
В том же квартале были зафиксированы две другие кампании, направленные на открытый код. Первая — «Mini Shai‑Hulud», когда злоумышленники заменили пакеты в нескольких популярных менеджерах зависимостей. Вторая — атака на проект Axios, связанная с подозрительным участником из Северной Кореи, который внедрил шпионские модули в инструменты сборки.
Все эти случаи имеют общую черту: они используют доверие к открытым репозиториям. Разница в методах — Glassworm предпочитал мульти‑канальный C2, тогда как Mini Shai‑Hulud делал ставку на подмену пакетов в реестр.
Урок один: без постоянного мониторинга и быстрых реакций любой проект может стать «медовой ловушкой» для киберпреступников.
Практические рекомендации для разработчиков
Если вы пишете код в открытом репозитории, выполните следующие шаги:
- Включите обязательный 2FA для всех участников проекта.
- Настройте автоматические проверки подписи коммитов (GPG/SSH).
- Регулярно сканируйте зависимости через такие сервисы, как Dependabot, Snyk или GitHub Advanced Security.
- Отслеживайте необычную активность в календарях, чатах и CI/CD‑пайплайнах.
- Обучайте команду признакам фишинговых писем и malvertising‑рекламы.
Эти меры не гарантируют полной защиты, но существенно снижают шансы, что ваш репозиторий станет частью следующего ботнета.
Справка
CrowdStrike — американская компания по кибербезопасности, основанная в 2011 году. Известна своими облачными решениями Falcon и быстрым реагированием на угрозы. За годы работы компания раскрыла более 30 крупных кибератак, среди которых вмешательство в инфраструктуру SolarWinds. Основателем и CEO является Джордж Кокран, бывший офицер армии США. В 2023 году CrowdStrike вышел в топ‑10 самых ценных киберкомпаний по оценке рынка.
Google — технологический гигант, основанный в 1998 году Ларри Пейджем и Сергеем Брином. Помимо поисковой системы, Google управляет облачными сервисами, включая Google Cloud и Calendar, которые иногда используют злоумышленники как инфраструктуру C2. В 2020‑х годах компания усилила программы по безопасности открытого кода, запустив Project Zero. CEO Сундара Пичай активно продвигает инициативы по ответственному раскрытию уязвимостей. Google также владеет платформой GitHub‑compatible Artifact Registry, что упрощает проверку пакетов.
Shadowserver Foundation — некоммерческая организация, основанная в 2004 году. Специализируется на глобальном сканировании интернета, сборе данных о вредоносных доменах и ботнетах. Предоставляет результаты исследований правительствам, провайдерам и компаниям‑клиентам. За годы работы помогла закрыть более 10 000 угроз, в том числе крупные DDoS‑атаки. Сотрудничает с более чем 60‑ю международными партнёрами, включая правоохранительные органы.
Glassworm — название ботнета, идентифицированного в 2022 году. Основной вектор — внедрение вредоносного кода в открытые проекты на GitHub. Управлялся через четыре канала: Solana, BitTorrent, Google Calendar и VPS‑серверы. По оценкам, заразил более 1 000 машин и отравил 300+ репозиториев. После операции с участием CrowdStrike и партнёров ботнет больше не активен.
GitHub — самая крупная платформа для хостинга кода, основанная в 2008 году. Включает функции CI/CD, проверки зависимостей и систему предупреждений о уязвимостях. После серии атак, включая Glassworm, GitHub усилил наблюдение за подозрительными действиями в репозиториях и запустил «Security Alerts» для всех публичных проектов. Принадлежит Microsoft с 2018 года. Предлагает бесплатные планы для открытого кода и платные для корпоративных клиентов.
Solana — блокчейн‑платформа, ориентированная на высокую пропускную способность и низкие комиссии. В 2021‑2022 годах активно использовалась в качестве C2‑канала для скрытого управления ботнетами из‑за публичного характера транзакций. Хотя изначально предназначена для криптовалютных приложений, её открытый API привлек киберпреступников. После расследований несколько крупных сервисов ограничили использование Solana для нелегальных целей. Платформа продолжает развиваться, предлагая решения для DeFi и NFT.
Подытоживая, можно сказать, что атака Glassworm — это сигнал о том, что киберугрозы теперь идут «внутрь» разработки. Защищать цепочку поставок значит защищать саму основу современных программных продуктов. Если вы разработчик или руководитель проекта, впишите перечисленные практики в ежедневный чек‑лист — и ваш код будет в надёжных руках.
