Интересно Ботнет Glassworm атаковал разработчиков через заражённые расширения и репозитории.

[Admin]

​

CrowdStrike совместно с Google и Shadowserver Foundation остановила работу ботнета Glassworm, который использовал заражённые расширения для редакторов кода и репозитории GitHub.

Ботнет Glassworm представлял серьёзную угрозу для разработчиков, используя заражённые пакеты npm и Python, а также перезаписанные репозитории GitHub.

Операторы Glassworm атаковали разработчиков через троянизированные расширения для редакторов кода, такие как VSCode, а также через пакеты npm и Python. Вредоносный код запускался во время установки зависимостей, что делало процесс незаметным для разработчиков. Более 300 репозиториев GitHub были отравлены, что позволило злоумышленникам добавлять вредоносный код в проекты. Ботнет использовал несколько каналов управления, включая блокчейн Solana, BitTorrent DHT и Google Calendar, что делало его устойчивым к отключению. CrowdStrike, Google и Shadowserver Foundation синхронно нарушили работу всех четырёх каналов, что остановило ботнет. Компания рекомендует организациям проверить сетевые журналы на наличие обращений к IP-адресу 164.92.88[.]210, который использовался Glassworm.