O código quebra a confiança. Quando as empresas instalam uma atualização, elas acreditam que o autor é quem dizem ser. Eles presumem que o repositório no GitHub é seguro. Os hackers sabem disso. Eles pararam de atacar o software. Agora eles caçam os humanos que o constroem.
CrowdStrike uniu forças com o Google e a organização sem fins lucrativos Shadowserver para desmantelar a botnet Glassworm. Durante dois anos, esses criminosos atacaram a cadeia de abastecimento de código aberto. O objetivo? Distribuindo malware e roubando senhas.
Os adversários perceberam algo simples. Ataque o desenvolvedor e você comprometerá tudo. Uma única estação de trabalho sequestrada se espalha. Afeta milhares de organizações downstream. Afeta milhões de usuários.
“Os adversários não são mais apenas produtos-alvo, eles têm como alvo os desenvolvedores que os constroem”
Glassworm era escorregadio. Ou talvez apenas persistente. Eles usaram tudo o que funcionou. Às vezes, malvertising – pagar por resultados de pesquisa falsos para enganar os downloads. Outras vezes, eles reutilizaram credenciais roubadas de violações anteriores. Isso permitiu que eles fizessem login como desenvolvedores reais e injetassem código diretamente em projetos confiáveis.
Eles até publicaram extensões maliciosas em mercados de desenvolvedores. Uma guerra em várias frentes. E eles venceram algumas batalhas. Mais de 30 repositórios GitHub foram envenenados. O dano se espalhou rapidamente.
A paralisação aconteceu rapidamente. CrowdStrike cortou quatro canais de comando e controle. Isso cortou a ligação com os computadores infectados. O sangramento parou.
Como a botnet se comunicou? Em lugares inteligentes.
– O blockchain Solana
– Pares BitTorrent
– Google Agenda
– Servidores virtuais privados
Escondido à vista de todos. Você verifica seu calendário e lá está ele: um conjunto de instruções maliciosas.
Alguém pediu permissão para desligar a tomada? Não está claro. Quando pressionado, o CrowdStrike não ofereceu detalhes adicionais além de seu relatório público. Silêncio onde normalmente mora a clareza jurídica.
Este não é um incidente isolado. Na semana passada, um grupo separado chamado “Mini Shai-Hulid” comprometeu vários projetos. Eles enviaram atualizações ruins. Dois desenvolvedores OpenAI foram vítimas. Antes disso, em março, uma ferramenta chamada Axios – usada por milhões de pessoas – foi sequestrada, supostamente por hackers norte-coreanos.
Por que isso continua acontecendo? Porque o código aberto comanda a Internet moderna. E a confiança é o único firewall. Até que isso mude, os desenvolvedores permanecerão na mira. O código é apenas o veículo.
