Code schendt vertrouwen. Wanneer bedrijven een update installeren, denken ze dat de auteur is wie ze zeggen dat hij is. Ze gaan ervan uit dat de repository op GitHub veilig is. Hackers weten dit. Ze stopten met het aanvallen van de software. Nu jagen ze op de mensen die het hebben gebouwd.
CrowdStrike bundelde de krachten met Google en de non-profitorganisatie Shadowserver om het Glassworm-botnet te ontmantelen. Twee jaar lang richtten deze criminelen zich op de open source-toeleveringsketen. Het doel? Malware pushen en wachtwoorden stelen.
Tegenstanders realiseerden zich iets eenvoudigs. Val de ontwikkelaar aan en je brengt alles in gevaar. Eén enkel gekaapt werkstation rimpelt naar buiten. Het raakt duizenden downstream-organisaties. Het raakt miljoenen gebruikers.
“Tegenstanders zijn niet langer alleen maar doelproducten, ze richten zich op de ontwikkelaars die ze bouwen”
Glasworm was glad. Of misschien gewoon volhardend. Ze gebruikten wat werkte. Soms malvertising: betalen voor valse zoekresultaten om downloads te misleiden. Andere keren hergebruikten ze de inloggegevens die bij eerdere inbreuken waren gestolen. Hierdoor konden ze inloggen als echte ontwikkelaars en code rechtstreeks in vertrouwde projecten injecteren.
Ze publiceerden zelfs kwaadaardige extensies op ontwikkelaarsmarktplaatsen. Een oorlog op meerdere fronten. En ze wonnen een aantal veldslagen. Meer dan 30 GitHub-opslagplaatsen raakten vergiftigd. De schade verspreidde zich snel.
De afsluiting gebeurde snel. CrowdStrike schrapte vier command-and-control-kanalen. Daarmee werd de link naar geïnfecteerde computers verbroken. Het bloeden stopte.
Hoe communiceerde het botnet? Op slimme plekken.
– De Solana-blockchain
– BitTorrent-peers
– Google Agenda
– Virtuele privéservers
Verborgen in het volle zicht. U controleert uw agenda en daar is hij: een kwaadaardige instructieset.
Heeft iemand toestemming gevraagd om de stekker eruit te trekken? Onduidelijk. Wanneer erop werd gedrukt, bood CrowdStrike geen extra details naast hun openbare rapport. Stilte waar juridische duidelijkheid gewoonlijk heerst.
Dit is geen geïsoleerd incident. Vorige week nog heeft een aparte groep genaamd “Mini Shai-Hulid” verschillende projecten in gevaar gebracht. Ze hebben slechte updates gepusht. Twee OpenAI-ontwikkelaars werden het slachtoffer. Daarvoor werd in maart een tool genaamd Axios – die door miljoenen mensen wordt gebruikt – gekaapt, naar verluidt door Noord-Koreaanse hackers.
Waarom blijft dit gebeuren? Omdat open source het moderne internet bestuurt. En vertrouwen is de enige firewall. Totdat dat verandert, zullen ontwikkelaars in het vizier blijven. De code is alleen het voertuig.
