Il codice infrange la fiducia. Quando le aziende installano un aggiornamento, credono che l’autore sia chi dicono di essere. Presumono che il repository su GitHub sia sicuro. Gli hacker lo sanno. Hanno smesso di attaccare il software. Ora danno la caccia agli umani che lo costruiscono.
CrowdStrike ha unito le forze con Google e l’organizzazione no-profit Shadowserver per smantellare la botnet Glassworm. Per due anni questi criminali hanno preso di mira la catena di fornitura open source. L’obiettivo? Inserimento di malware e furto di password.
Gli avversari hanno realizzato qualcosa di semplice. Attacca lo sviluppatore e comprometti tutto. Una singola postazione di lavoro dirottata si diffonde verso l’esterno. Tocca migliaia di organizzazioni a valle. Tocca milioni di utenti.
“Gli avversari non prendono più di mira solo i prodotti, ma gli sviluppatori che li realizzano”
Glassworm era astuto. O forse semplicemente persistente. Hanno usato qualunque cosa funzionasse. A volte malvertising: pagamento per risultati di ricerca falsi per ingannare i download. Altre volte hanno riutilizzato credenziali rubate da violazioni precedenti. Ciò ha consentito loro di accedere come veri sviluppatori e di inserire il codice direttamente in progetti attendibili.
Hanno persino pubblicato estensioni dannose sui mercati degli sviluppatori. Una guerra su più fronti. E hanno vinto alcune battaglie. Più di 30 repository GitHub sono stati avvelenati. Il danno si diffuse rapidamente.
L’arresto è avvenuto rapidamente. CrowdStrike ha tagliato quattro canali di comando e controllo. Ciò ha interrotto il collegamento ai computer infetti. L’emorragia si fermò.
Come comunicava la botnet? In posti intelligenti.
– La blockchain di Solana
– Coetanei BitTorrent
– Calendario di Google
– Server privati virtuali
Nascosto in bella vista. Controlli il tuo calendario ed eccolo lì: un set di istruzioni dannose.
Qualcuno ha chiesto il permesso di staccare la spina? Non chiaro. Quando è stato pressato, CrowdStrike non ha offerto ulteriori dettagli oltre al loro rapporto pubblico. Silenzio dove solitamente abita la chiarezza giuridica.
Questo non è un incidente isolato. Proprio la scorsa settimana, un gruppo separato chiamato “Mini Shai-Hulid” ha compromesso diversi progetti. Hanno inviato aggiornamenti errati. Due sviluppatori OpenAI sono rimasti vittime. Prima di ciò, a marzo, uno strumento chiamato Axios, utilizzato da milioni di persone, era stato violato, presumibilmente, da hacker nordcoreani.
Perché continua a succedere? Perché l’open source gestisce l’Internet moderna. E la fiducia è l’unico firewall. Fino a quando ciò non cambierà, gli sviluppatori rimarranno nel mirino. Il codice è solo il veicolo.
