CrowdStrike ve Google'dan Yazılımcıları Hedef Alan Botnet Operasyonu

Siber güvenlik devi CrowdStrike; Google ve internet saldırılarını izleyen kar amacı gütmeyen kuruluş Shadowserver ile iş birliği yaparak, açık kaynak yazılım geliştiricilerini hedef alan tehlikeli bir botnet ağını çökertti. "Glassworm" adı verilen bu botnet, siber suçlular tarafından kötü amaçlı yazılımları yaymak ve geliştiricilerin şifrelerini çalmak amacıyla kullanılıyordu.

CrowdStrike tarafından yayınlanan rapora göre, Glassworm grubu yaklaşık iki yıldır açık kaynak yazılım tedarik zincirini hedef alıyordu. Son dönemde artış gösteren bu saldırı türü, şirketlerin GitHub gibi platformlarda barındırılan kodlara ve bu kodları yazan geliştiricilere duyduğu güveni istismar ediyor. Saldırganların artık doğrudan ürünleri değil, bu ürünleri inşa eden geliştiricileri hedef aldığı belirtiliyor.

Raporda, geliştiricilerin neden yüksek değerli hedefler olduğu şu sözlerle açıklandı: "Tek bir geliştiricinin çalışma istasyonunun ele geçirilmesi, binlerce alt kuruluşu ve kullanıcıyı etkileyen devasa bir tedarik zinciri ihlaline yol açabiliyor."

Glassworm hackerlarının kötü amaçlı kodları yaymak için kullandığı yöntemler arasında; geliştirici pazar yerlerinde sahte eklentiler yayınlamak, arama motorlarında sponsorlu reklamlar aracılığıyla kullanıcıları yanıltmak (malvertising) ve eski sızıntılardan elde edilen kimlik bilgileriyle geliştirici hesaplarını ele geçirmek yer alıyordu. Bu yöntemler sonucunda, 300'den fazla GitHub kod deposunun "zehirlendiği" tespit edildi.

Operasyon kapsamında, hackerların enfekte olmuş bilgisayarlara erişimini sağlayan ve yeni zararlı yazılımların gönderilmesine imkan tanıyan dört ana komuta-kontrol kanalı etkisiz hale getirildi. Söz konusu kanalların Solana blokzinciri, BitTorrent eşten eşe (P2P) ağı, Google Takvim ve çeşitli sanal özel sunucular (VPS) üzerinden yönetildiği ortaya çıktı.