El código rompe la confianza. Cuando las empresas instalan una actualización, creen que el autor es quien dicen ser. Asumen que el repositorio de GitHub es seguro. Los piratas informáticos lo saben. Dejaron de atacar el software. Ahora cazan a los humanos que lo construyen.
CrowdStrike unió fuerzas con Google y la organización sin fines de lucro Shadowserver para desmantelar la botnet Glassworm. Durante dos años, estos delincuentes atacaron la cadena de suministro de código abierto. ¿El objetivo? Impulsar malware y robar contraseñas.
Los adversarios se dieron cuenta de algo simple. Ataca al desarrollador y comprometerás todo. Una sola estación de trabajo secuestrada sale a la luz. Afecta a miles de organizaciones downstream. Toca a millones de usuarios.
“Los adversarios ya no son sólo productos objetivo, sino también los desarrolladores que los crean”
El gusano de cristal estaba resbaladizo. O tal vez simplemente persistente. Usaron todo lo que funcionó. A veces, publicidad maliciosa: pagar por resultados de búsqueda falsos para engañar a las descargas. Otras veces reutilizaron credenciales robadas de infracciones anteriores. Esto les permitió iniciar sesión como desarrolladores reales e inyectar código directamente en proyectos confiables.
Incluso publicaron extensiones maliciosas en los mercados de desarrolladores. Una guerra en múltiples frentes. Y ganaron algunas batallas. Más de 30 repositorios de GitHub fueron envenenados. El daño se extendió rápidamente.
El cierre se produjo rápidamente. CrowdStrike cortó cuatro canales de comando y control. Eso cortó el vínculo con las computadoras infectadas. El sangrado se detuvo.
¿Cómo se comunicó la botnet? En lugares inteligentes.
– La cadena de bloques Solana
– pares de BitTorrent
– Calendario de Google
– Servidores privados virtuales
Oculto a plena vista. Consultas tu calendario y ahí está: un conjunto de instrucciones maliciosas.
¿Alguien pidió permiso para desconectarlo? No claro. Cuando se le presionó, CrowdStrike no ofreció detalles adicionales más allá de su informe público. Silencio donde suele habitar la claridad jurídica.
Este no es un incidente aislado. La semana pasada, un grupo separado llamado “Mini Shai-Hulid” comprometió varios proyectos. Impulsaron malas actualizaciones. Dos desarrolladores de OpenAI fueron víctimas. Antes de eso, en marzo, una herramienta llamada Axios, utilizada por millones de personas, fue secuestrada, supuestamente por piratas informáticos norcoreanos.
¿Por qué esto sigue sucediendo? Porque el código abierto gestiona la Internet moderna. Y la confianza es el único cortafuegos. Hasta que eso cambie, los desarrolladores permanecerán en la mira. El código es solo el vehículo.
