Le code brise la confiance. Lorsque les entreprises installent une mise à jour, elles croient que l’auteur est celui qu’elles prétendent être. Ils supposent que le référentiel sur GitHub est sécurisé. Les pirates le savent. Ils ont arrêté d’attaquer le logiciel. Maintenant, ils chassent les humains qui l’ont construit.
CrowdStrike s’est associé à Google et à l’association à but non lucratif Shadowserver pour démanteler le botnet Glassworm. Pendant deux ans, ces criminels ont ciblé la chaîne d’approvisionnement open source. Le but ? Pousser des logiciels malveillants et voler des mots de passe.
Les adversaires ont réalisé quelque chose de simple. Attaquez le développeur et vous compromettez tout. Un seul poste de travail piraté se répercute vers l’extérieur. Cela touche des milliers d’organisations en aval. Cela touche des millions d’utilisateurs.
« Les adversaires ne ciblent plus seulement les produits, ils ciblent les développeurs qui les construisent »
Glassworm était habile. Ou peut-être simplement persistant. Ils ont utilisé tout ce qui fonctionnait. Parfois, de la publicité malveillante : payer pour de faux résultats de recherche afin de tromper les téléchargements. D’autres fois, ils ont réutilisé les informations d’identification volées lors de violations antérieures. Cela leur a permis de se connecter en tant que vrais développeurs et d’injecter du code directement dans des projets de confiance.
Ils ont même publié des extensions malveillantes sur les places de marché des développeurs. Une guerre sur plusieurs fronts. Et ils ont gagné quelques batailles. Plus de 30 dépôts GitHub ont été empoisonnés. Les dégâts se sont propagés rapidement.
La fermeture s’est produite rapidement. CrowdStrike a supprimé quatre canaux de commande et de contrôle. Cela a rompu le lien avec les ordinateurs infectés. Le saignement s’est arrêté.
Comment le botnet communiquait-il ? Dans des endroits intelligents.
– La blockchain Solana
– Pairs BitTorrent
– Google Agenda
– Serveurs privés virtuels
Caché à la vue de tous. Vous vérifiez votre calendrier et le voilà : un jeu d’instructions malveillantes.
Quelqu’un a-t-il demandé la permission de débrancher la prise ? Peu clair. Lorsqu’il a été pressé, CrowdStrike n’a fourni aucun détail supplémentaire au-delà de son rapport public. Un silence là où réside habituellement la clarté juridique.
Ce n’est pas un incident isolé. La semaine dernière, un groupe distinct appelé « Mini Shai-Hulid » a compromis plusieurs projets. Ils ont poussé de mauvaises mises à jour. Deux développeurs d’OpenAI ont été victimes. Avant cela, en mars, un outil appelé Axios, utilisé par des millions de personnes, avait été détourné, prétendument par des pirates informatiques nord-coréens.
Pourquoi cela continue-t-il à se produire ? Parce que l’Open Source gère l’Internet moderne. Et la confiance est le seul pare-feu. En attendant que cela change, les développeurs resteront dans la ligne de mire. Le code est juste le véhicule.
